声明：文章中涉及的程序(方法)可能带有攻击性，仅供安全研究与教学之用，读者将其信息做其他用途，由用户承担全部法律及连带责任，文章作者不承担任何法律及连带责任。

背景介绍：

2021 年在 Gais Cyber Security 工作早期阶段的白帽小哥突然接到经理打来的电话，电话那端兴奋地说道 “我认为 Microsoft Teams 存在漏洞，让我们一起来看看吧！”，于是他们开始工作，在 2 小时内，白帽小哥发现了他的第一个 Microsoft Teams 漏洞，该漏洞以账户接管 (ATO) 告终。

漏洞发现：

在报告该漏洞一年后，白帽小哥决定再次探索 Microsoft Teams，看看还能有何发现，Teams 有很多功能，但有一个功能是每个人都特别喜欢的---发送贴纸！

白帽小哥给他的朋友发了一张贴纸，并评估这一切是如何运作的：

原文始发于微信公众号（骨哥说事）：绕过 CSP 保护，在Microsoft Teams 上实现XSS攻击