<html>
    <head>
      <base href="https://bugs.webkit.org/">
    </head>
    <body><table border="1" cellspacing="0" cellpadding="8">
        <tr>
          <th>Bug ID</th>
          <td><a class="bz_bug_link 
          bz_status_NEW "
   title="NEW - Service Worker <script> interception allows exploiting unexploitable XSSI"
   href="https://bugs.webkit.org/show_bug.cgi?id=192628">192628</a>
          </td>
        </tr>

        <tr>
          <th>Summary</th>
          <td>Service Worker <script> interception allows exploiting unexploitable XSSI
          </td>
        </tr>

        <tr>
          <th>Product</th>
          <td>WebKit
          </td>
        </tr>

        <tr>
          <th>Version</th>
          <td>WebKit Nightly Build
          </td>
        </tr>

        <tr>
          <th>Hardware</th>
          <td>Unspecified
          </td>
        </tr>

        <tr>
          <th>OS</th>
          <td>Unspecified
          </td>
        </tr>

        <tr>
          <th>Status</th>
          <td>NEW
          </td>
        </tr>

        <tr>
          <th>Severity</th>
          <td>Normal
          </td>
        </tr>

        <tr>
          <th>Priority</th>
          <td>P2
          </td>
        </tr>

        <tr>
          <th>Component</th>
          <td>Service Workers
          </td>
        </tr>

        <tr>
          <th>Assignee</th>
          <td>webkit-unassigned@lists.webkit.org
          </td>
        </tr>

        <tr>
          <th>Reporter</th>
          <td>prakashsharma97@hotmail.com
          </td>
        </tr></table>
      <p>
        <div>
        <pre>What is XSSI?
<span class="quote">> Cross Site Script Inclusion (XSSI) is an attack technique (or a vulnerability) that enables attackers to steal data of certain types across origin boundaries, by including target data using SCRIPT tag in an attacker's Web page.</span >

Steps to reproduce:
Please visit <a href="https://cm2.pw/poc/chrome/xssi">https://cm2.pw/poc/chrome/xssi</a> and you should see an alert with email.

Things worth noting here are;
- The initial <script> url, if requested directly, doesn't produce any output
- We're using Service Worker to intercept the request and send POST request instead
- The returned content is valid JavaScript. Thus we're able to read `email`.
- We can also add request headers like 'Accept', added for demonstration purpose.


Actual results:
<script> can be intercepted to send custom request like POST with other headers.

It's now possible to read cross-domain responses if it's a valid JavaScript no matter the request method (i.e Simple requests). Further, we can observe several applications respond with 'Content-type' specified in 'Accept' header. Service Worker now makes them prone to XSSI as it allows sending 'Accept' (safelisted) header with <script> tag and read side effects, if any.


Expected results:
<script> is expected to send default request with default headers.</pre>
        </div>
      </p>


      <hr>
      <span>You are receiving this mail because:</span>

      <ul>
          <li>You are the assignee for the bug.</li>
      </ul>
    </body>
</html>