Artikeln beskriver hur DNS prefetching kan utnyttjas för att kringgå Content Security Policy (CSP) och exfiltrera data från webbapplikationer. CSP är primärt utformat för att skydda mot Cross-Site Scripting (XSS) och kodinjektion, men inte mot dataexfiltrering via denna metod. DNS prefetching är en webbläsarfunktion som förlöser DOMännamn till IP-adresser i förväg för att förbättra laddningstider. En angripare kan injicera skadlig JavaScript-kod som bäddar in känslig information (t.ex. sessionscookies) i ett DOMännamn som kontrolleras av angriparen, vilket tvingar webbläsaren att utföra en DNS-förfrågan som kan loggas. Det finns begränsade motåtgärder; Firefox är den enda webbläsaren som tillåter att DNS prefetching inaktiveras via X-DNS-Prefetch-Control-headern, men allmänna säkerhetsåtgärder som inputvalidering rekommenderas fortfarande.