Part 3/3Dando uma sacada na intenção dele quando foi implementado para entender qual a intenção ele visava atender, confirmou o cenário que o próprio nome resume: Quando tiver violações de CSP na página, o evento é "trigado"/hookado.1. Acredito existir dois cenários aqui:Ou a PortSwigger não atualiza a lista de payloads conforme existem atualizações dos navegadores, trazendo novos eventos (o que acho improvável)2. Ou eles não colocam alguns eventos pois dependem do contexto.E esse segundo cenário me chama muito a atenção: Se um evento não está sendo largamente conhecido, talvez as chances do WAF detectá-lo como algo nocivo sejam menores. Outra questão é que não é raro vermos violações de CSP por descuido dos desenvolvedores. Fica uma anotação pessoal registrada para testar num cenário futuro.

Part 3/3

Dando uma sacada na intenção dele quando foi implementado para entender qual a intenção ele visava atender, confirmou o cenário que o próprio nome resume: Quando tiver violações de CSP na página, o evento é "trigado"/hookado.

1. Acredito existir dois cenários aqui:
Ou a PortSwigger não atualiza a lista de payloads conforme existem atualizações dos navegadores, trazendo novos eventos (o que acho improvável)
2. Ou eles não colocam alguns eventos pois dependem do contexto.

E esse segundo cenário me chama muito a atenção: Se um evento não está sendo largamente conhecido, talvez as chances do WAF detectá-lo como algo nocivo sejam menores. Outra questão é que não é raro vermos violações de CSP por descuido dos desenvolvedores. Fica uma anotação pessoal registrada para testar num cenário futuro.