Hello guys!

 

セキュリティレベルを『Medium』へ。

今回は、はじめからソースコードを確認することはせずに。

 

まずは、『Include』ボタンを実施して。

『F12』ボタンで、開発ツールの『ネットワーク』を表示させて。

『Content-Security-Policy』が書かれている箇所を見つけて。

下記のようなルールが見つかって。

　script-src 'self' 'unsafe-inline' 'nonce-TmV2ZXIgZ29pbmcgdG8gZ2l2ZSB5b3UgdXA=';

どうやら『nonce』の値を入れることでスクリプトが許可させるようで。

 

 

なので、下記のように『nonce』の値を組み込んで実行すると。

　<script nonce="TmV2ZXIgZ29pbmcgdG8gZ2l2ZSB5b3UgdXA=">alert(999)</script>

 

 

スクリプト成功。

 

 

Best regards,