内容安全策略(CSP)是防止XSS攻击的重要机制,它限制了可执行的资源来源,阻止内联脚本,控制静态资源加载,并记录违规报告。启用CSP包括创建策略和通过HTTP头或meta标签添加策略。CSP指令如script-src、style-src等定义了安全的内容源。最佳实践建议逐步谨慎引入CSP,避免影响线上项目的稳定性。此外,还提供了《网络安全学习资源包》供学习者使用。
CSP的作用
- 限制了那些域的资源可以加载并且执行;
- 阻止内联脚本和页面上的事件处理;
- 控制静态资源的加载;
- 记录策略违规报告
启用CSP机制
一、创建 CSP 策略
CSP策略是设置了许多内容源的字符串,内容源可以对协议、主机host、关键词等等。比如
Content-Security-Policy: default-src 'self'; img-src https://\*; child-src 'none';
测试CSP策略的在线工具
二、添加 CSP 策略
开发者可以通过下面的手段通知浏览器那些资源是安全的,可加载执行的;哪些请求应该拒绝;
- 服务器端通过设置HTTP header
Content-Security-Policy - 网页HTML文件中添加meta标签**
<meta http-equiv="Content-Security-Policy" content="default-src 'self'; img-src https://*; child-src 'none';">**
CSP 指令列表
💡 CSP 定义了一系列的指令,每个指令控制一个特定的策略。
- default-src:这是CSP的默认指令,如果没有设置其他CSP指令,那么默认指令将
最低0.47元/天 解锁文章
7310
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
