摘要：结论：log4j是JNDI注入漏洞，可利用漏洞导致反序列化。 而fastjson是反序列化漏洞，可利用漏洞加载JNDI类。 JNDI（Java Naming and Directory Interface）是 Java 提供的一种 API，用于访问命名和目录服务（如 LDAP、RMI、DNS 等） 阅读全文

摘要：CSP与XSS漏洞的关系 1、CSP不依赖漏洞的存在： 2、CSP是独立的安全机制，其有效性取决于策略本身的严格性，而非漏洞是否存在。 例如： 严格CSP（基于nonce）：即使站点存在XSS漏洞，攻击者也无法伪造合法的 nonce 值来执行脚本。 宽松CSP（允许unsafe-inline）：若漏 阅读全文