思科旗下的Talos网路威胁情报部门在本周揭露多个可能 外洩使用者机密资讯的浏览器漏洞 ，并指出在受到波及的Microsoft Edge、Google Chrome与苹果Safari浏览器中，只有微软还没修补。

Talos研究人员Nicolai Grødum说明，“同源政策”为网路应用程式的基本安全机制之一，它要求网路程式码只能存取同样来源的资料，例如在浏览器中所执行的、源自good.example.com的script只能存取来自同样服务器的资料，而不允许该script存取其他服务器的资料。

然而，网路应用程式存在许多安全漏洞，可允许骇客绕过同源政策，其中一项特别成功的攻击行动为跨站指令码攻击，骇客可自远端注入恶意程式至浏览器中执行的程式，并伪装成同源程式来存取在地资源，可造成机密资讯外洩甚至是应用程式劫持。

为了防范XSS攻击，各家浏览器几乎都支持“内容安全政策”，它是个服务器白名单，列出了可供客户端网路应用程式码使用的合法资源。但Talos却找到了绕过CSP的途径，让XSS攻击的成功机会大增。

Grødum指出，包括Microsoft Edge、Chrome与Safari的CSP都含有相关漏洞，允许骇客绕过CSP所定义的政策而造成资料外洩。由于每个浏览器导入CSP的方式不同，使得骇客也必须针对不同的浏览器撰写攻击程式。

尽管资料外洩漏洞不如远端程式攻击漏洞来得严重，但Grødum认为，XSS攻击可能让骇客取得使用者的机密资讯，进而掌控使用者的帐号，应被视为重大威胁。

迄今Chrome与Safari都已修补相关漏洞，而微软则说这是特别设计的，并非安全漏洞，因而拒绝修补。Grødum则在部落格中详述了如何绕过浏览器的CSP保护。