Hello guys!
セキュリティレベルを『Medium』へ。
今回は、はじめからソースコードを確認することはせずに。
まずは、『Include』ボタンを実施して。
『F12』ボタンで、開発ツールの『ネットワーク』を表示させて。
『Content-Security-Policy』が書かれている箇所を見つけて。
下記のようなルールが見つかって。
script-src 'self' 'unsafe-inline' 'nonce-TmV2ZXIgZ29pbmcgdG8gZ2l2ZSB5b3UgdXA=';
どうやら『nonce』の値を入れることでスクリプトが許可させるようで。
なので、下記のように『nonce』の値を組み込んで実行すると。
<script nonce="TmV2ZXIgZ29pbmcgdG8gZ2l2ZSB5b3UgdXA=">alert(999)</script>
スクリプト成功。
Best regards,