内容安全策略(Content-Security-Policy,简称CSP)

概念

内容安全策略(CSP)是一种web应用技术用于帮助缓解大部分类型的内容注入攻击,包括XSS攻击和数据注入等,这些攻击可实现数据窃取、网站破坏和作为恶意软件分发版本等行为。该策略可让网站管理员指定客户端允许加载的各类可信任资源。

浏览器支持

统计来源:caniuse.com/contentsecuritypolicy & Mozilla

指令参考

Content-Security-Policy 响应头的值可配置一个或多个,多个指令以分号;隔开。

指令

示例

描述

default-src

'self' cdn.example.com

默认配置,若其他指令没有配置,都以此配置的规则为准

script-src

'self' js.example.com

定义允许加载的JavaScript来源

style-src

'self' css.example.com

定义允许加载的样式表来源

img-src

'self' img.example.com

定义允许加载的图片来源

connect-src

'self'

适用于XMLHttpRequest(AJAX),WebSocket或EventSource,当为不允许的来源,浏览器返回一个400的状态码。

font-src

font.example.com

定义允许加载的字体来源

object-src

'self'

定义允许加载的插件来源.

eg,<object>,<embed>或<applet>

media-src

media.example.com

定义允许加载的audio和video.

eg,HTML5 <audio>,<video>元素

frame-src

'self'

定义允许加载的框架来源

sandbox

allow-forms allow-scripts

授权一个沙箱用来请求具有iframe sanbox等类似属性的资源,该沙箱默认为同源策略,禁止弹出窗口,执行插件和脚本.若要允许其他,可增加配置:

allow-forms,allow-same-origin, allow-scripts,allow-top-navigation

report-uri

/some-report-uri

该配置让浏览器发送一个失败报告到指定的路径,也可以增加-Report-only到HTTP头,让浏览器只发送报告(不做阻止动作)

来源配置参考

所有的指令都要在配置后面添加来源列表,多个来源列表可用空格隔开,*和none只能存在一个。

指令值

示例

描述

*

img-src *

无限制,允许所有

'none'

object-src 'none'

禁止加载任何路径的资源

'self'

script-src 'self'

允许加载同源的资源

data:

img-src 'self' data:

允许通过数据模式加载资源

domain.ccc.com

img-src img.ccc.com

允许加载匹配域名的资源

*.ccc.com

img-src *.ccc.com

允许加载匹配域名的资源

https://img.ccc.com

img-src https://img.ccc.com

允许加载匹配https方式的域名资源

https:

img-src https:

允许加载所有匹配https方式的资源

'unsafe-inline'

script-src 'unsafe-inline'

允许使用内联元素,类似,Style

attribute,onclick,scripttag bodies

'unsafe-eval'

script-src 'unsafe-eval'

允许不安全的动态编码,例如eval()

例子

只允许加载同源的所有资源

default-src 'self';

支持*号匹配

default-src 'self' https://*.ccc.com:*;

只允许加载同源的脚本

script-src 'self';

只允许加载同源的和www.ccc.com的脚本

script-src 'self' www.ccc.com;

常见配置

该策略允许加载同源的图片、脚本、AJAX和CSS资源,并阻止加载其他任何资源,对于大多数网站是一个不错的配置。

default-src 'none'; script-src 'self'; connect-src 'self'; img-src 'self'; style-src 'self';

被禁止时的报错信息

谷歌浏览器可通过谷歌开发工具查看该报错,通常是按F12

Refused to load the script 'script-uri' because it violates the following Content Security Policy directive: "your CSP directive".

Firefox 可通过 Web Developer Tools: 查看报错

Content Security Policy: A violation occurred for a report-only CSP policy ("An attempt to execute inline scripts has been blocked"). The behavior was allowed, and a CSP report was sent.

参考:

http://content-security-policy.com/

https://developer.mozilla.org/en-US/docs/Web/Security/CSP

http://www.w3.org/TR/CSP2/

Web安全之CSP的更多相关文章

  1. 关于 Web 安全,99% 的网站都忽略了这些

    Web安全是一个如何强调都不为过的事情,我们发现国内的众多网站都没有实现全站https,对于其他安全策略的实践更是很少,本文的目的并非讨论安全和攻击的细节,而是从策略的角度引发对安全的思考和重视. 1 ...

  2. CSP & CORS

    CSP & CORS 内容安全策略 跨域资源共享 CSP https://developers.google.com/web/fundamentals/security/csp google ...

  3. how to get iframe dom in js

    how to get iframe dom in js https://stackoverflow.com/questions/3999101/get-iframes-document-from-ja ...

  4. 安全相关的head头

    与安全相关的head头包括 参考网站:https://developer.mozilla.org/en-US/docs/Web/HTTP Content-Security-Policy(CSP):禁止 ...

  5. 你不可不知的WEB安全知识(第一部分:HTTPS, TLS, SSL, CORS, CSP)

    译   原文地址:https://dev.to/ahmedatefae/web-security-knowledge-you-must-understand-it-part-i-https-tls-s ...

  6. Web 安全之内容安全策略 (CSP)

    内容安全策略 (CSP, Content Security Policy) 是一个附加的安全层,用于帮助检测和缓解某些类型的攻击,包括跨站脚本攻击 (XSS) 和数据注入等攻击. 这些攻击可用于实现从 ...

  7. CSP的今世与未来

    一.从两个工具说起 最近Google又推出了两款有关CSP利用的小工具,其一为CSP Evaluator,这是一个能够评估你当前输入的CSP能否帮助你有效避免XSS攻击的工具,其用法非常简单,在输入框 ...

  8. 浅谈WEB安全性(前端向)

    相信进来的时候你已经看到alert弹窗,显示的是你cookie信息(为配合博客园要求已删除).单纯地在你的客户端弹出信息只是类似于迫使你在自己的房间脱衣服——没人看得到,自然也不算啥恶意行为.那么如果 ...

  9. CSP -- 运营商内容劫持(广告)的终结者

    缘由 我们公司最近手机端H5 经常受到商户和用户的投诉,说有广告并且导致不能正常进行操作,我们商户自己当然不会加广告了,但是商户和用户可不管这些了,就认为是我们的问题 探索发现根本 目前我们用的很多浏 ...

随机推荐

  1. Zabbix实战-简易教程--监控OSPF

    一.需求背景 网络工程师需要对OSPF进行监控,需求如下: 1.状态展示 OSPF区域状态 OSPF接口状态 OSPF邻居状态 2.问题报警 触发器设置: a.OSPF区域状态  b.OSPF接口状态 ...

  2. MIME---multipart类型

    1.3  multipart类型 MIME邮件中各种不同类型的内容是分段存储的,各个段的排列方式.位置信息都通过Content-Type域的multipart类型来定义.multipart类型主要有三 ...

  3. python中List添加、删除元素的几种方法

    一.python中List添加元素的几种方法 List 是 Python 中常用的数据类型,它一个有序集合,即其中的元素始终保持着初始时的定义的顺序(除非你对它们进行排序或其他修改操作).在Pytho ...

  4. React Router 使用教程

    一.基本用法 React Router 安装命令如下. $ npm install -S react-router 使用时,路由器Router就是React的一个组件. import { Router ...

  5. python实现求最长子串长度

    给定一个字符串,求它最长的回文子串长度,例如输入字符串'35534321',它的最长回文子串是'3553',所以返回4. 最容易想到的办法是枚举出所有的子串,然后一一判断是否为回文串,返回最长的回文子 ...

  6. hdu_2668 Daydream O(n)求最长不重复子串

    题目链接:http://acm.hdu.edu.cn/showproblem.php?pid=2668 Daydream Time Limit: 2000/1000 MS (Java/Others)  ...

  7. android仿微信红包动画、Kotlin综合应用、Xposed模块、炫酷下拉视觉、UC浏览器滑动动画等源码

    Android精选源码 仿微信打开红包旋转动画 使用Kotlin编写的Android应用,内容你想象不到 Android手机上的免Root Android系统日志Viewer 一个能让微信 Mater ...

  8. IntelliJ IDEA 配置 smartGit

    教你如何在IntelliJ IDEA中配置smartGit? 一.第一种方式: 1.在启动IDEA工具时,点击下拉按钮"Check out from Version Control" ...

  9. URL编码的方法

    Global 对象的encodeURI()和encodeURIComponent()方法可以对URI(Uniform ResourceIdentifiers,通用资源标识符)进行编码,以便发送给浏览器 ...

  10. Redis 数据结构与内存管理策略(下)

    Redis 数据结构与内存管理策略(下) 标签: Redis Redis数据结构 Redis内存管理策略 Redis数据类型 Redis类型映射 Redis 数据类型特点与使用场景 String.Li ...