一、情况分析

基于Chromium 内核的浏览器被曝存在一个可被绕过的内容安全策略（简称 CSP）漏洞。

这个代号为CVE-2020-6519的安全漏洞可以让攻击者绕过大部分网站都有使用、专为阻挡部分类型攻击而设的CSP（Content Security Policy），然后偷取网站用户的个人敏感数据。

要利用这个漏洞，攻击者首先需要获得网站服务器的访问权限，之后就可以在JavaScript内加入frame-src或child-src指令来让JavaScript允许加载以及执行新加入的代码，从而完全绕过CSP。

二、影响范围

该漏洞（CVE-2020-6519）可在 Windows、Mac 和 Android 版 Chrome 浏览器，以及 Opera 和 Edge 中找到。

三、处置建议

建议将浏览器尽快升级至最新版本。