内容简介:CSP(Content-Security-Policy)内容安全策略,官方解释:CSP是一个额外的完全层,用于检测并小若某些特定类型的攻击,包括跨站脚本攻击XSS和数据注入攻击等。1. 后端配置网络服务器返回Content-Security-Policy头部
CSP(Content-Security-Policy)内容安全策略,官方解释:CSP是一个额外的完全层,用于检测并小若某些特定类型的攻击,包括跨站脚本攻击XSS和数据注入攻击等。
配置方法:
1. 后端配置网络服务器返回Content-Security-Policy头部
2. 前端通过<meta>标签进行配置
<meta http-equiv="Content-Security-Policy" content="default-src 'self';">复制代码
CSP使用目的
XSS攻击方面:CSP的主要用途是减少和上报XSS攻击,通过指定 浏览器认可的可执行脚本的有效来源(将仅执行从白名单域获取到的脚本文件,忽略所有其他脚本,包括内联脚本和HTML的事件处理属性),使服务器管理者有能力减少或者消除XSS攻击所依赖的载体。
数据注入攻击方面:可指定所有内容必须通过HTTPS加载。
策略制定
配置相关策略,可以控制浏览器为该页面获取的资源。
Content-Security-Policy: default-src | script-src | style-src | img-src ....
-
script-src
:外部脚本 -
style-src
:样式表 -
img-src
:图像 -
media-src
:媒体文件(音频和视频) -
font-src
:字体文件 -
object-src
:插件(比如 Flash) -
child-src
:框架 -
frame-ancestors
:嵌入的外部资源(比如<frame>、<iframe>、<embed>和<applet>) -
connect-src
:HTTP 连接(通过 XHR、WebSockets、EventSource等) -
worker-src
:worker
脚本 -
manifest-src
:manifest 文件
常用安全策略方案:
1. 内容同源
Content-Security-Policy: default-src 'self'复制代码
2. 信任指定域资源
Content-Security-Policy: default-src 'self' *.example.com复制代码
3. 信任所有图片源,限制富媒体资源
Content-Security-Policy: default-src 'selc'; img-src *; media-src media1.com media2.com; srcipt-src *.example.com复制代码
默认的,各类资源允许从文档所在源获取,但以下内容除外:
- 图片资源不受限制
- 富媒体资源仅允许从media1.com, media2.com获取,且这类站点的不包括子域
- 可运行脚本仅允许*.example.com
- 若此处不设置script-src,仅允许javascript从原始服务器获取
4. 通过HTTPS加载
Content-Security-Policy: default-src https://some.trusted.com/复制代码
测试策略
Content-Security-Policy-Report-Only(报告模式),CSP策略不是强制性的,但任何违规行为都会上报到指定URI。
Content-Security-Policy和Content-Security-Policy-Report-Only,也可以同时使用,Content-Security-Policy带有策略强制性,而Content-Security-Policy-Report-Only中的策略只产生报告不具有强制性。
发送违规报告
启用发送违规报告,需要指定report-uri策略指令,并提供至少一个URI地址:
Content-Security-Policy: default-src 'self'; report-uri https://report.catch.com/collector.cpi复制代码
然后在服务器设置接收。
案例使用说明
假设一个 https://example.com/index.html 页面,CSP策略禁止任何资源的加载,除了cdn.example.com的资源样式表。
Content-Security-Policy: default-src 'none'; style-src cdn.example.com; report-uri /_/report-collect复制代码
index.html代码如下:
<!DOCTYPE html> <html> <head> <link rel="stylesheet" href="css/style.css"> </head> <body>...</body> </html>复制代码
由于CSP的设置,页面总link标签的css资源无法被正常加载,且还会发送一个违规报告到https://example.com /_/report-collect:
{ "report-collect": { "document-uri": https://example.com/index.html, // 发生违规行为的文档的URI "referrer": "", // 违规发生处的文档引用地址 "blocked-uri": "https://example.com/css/style.css", // 被CSP阻止的资源 "violated-directive": "style-src cdn.example.com", // 违反的策略名称 "original-policy": "default-src 'none'; style-src cdn.example.com;report-uri /_/report-collect", // 原始策略 } }复制代码
以上就是本文的全部内容,希望本文的内容对大家的学习或者工作能带来一定的帮助,也希望大家多多支持 码农网
猜你喜欢:- 内容安全策略(CSP)详解
- CSR 内容安全策略入门
- Google如何利用内容安全策略缓解Web漏洞
- DVWA 黑客攻防实战(十五) 绕过内容安全策略 Content Security Policy (CSP) Bypass
- 负载均衡策略之轮询策略
- 负载均衡策略之两次随机选择策略
本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们。
Microsoft Windows程序设计
佩措尔德 / 章立民 / 华中科技 / 2004-1 / 118.00元
Charles Petzold是全球最权威且知名的Windows程序设计专家,他将其最畅销Programming Microsoft Windows with C#一书加以改写,使之能完全适用于Visual Basic.NET的开发人员。这位畅销书的作家示范了如何使用Visual Basic.NET将Windows Forms的功能发挥到极致(Windows Forms是新一代的Windows程序......一起来看看 《Microsoft Windows程序设计》 这本书的介绍吧!