安全头响应头(一)Content-Security-Policy_add_header content-security-policy

于 2024-04-29 11:24:55 发布
阅读量315 收藏 7
点赞数 4
分类专栏: 程序员 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2401_84247760/article/details/138306794
版权

[2]、它的实现和执行全部’由浏览器完成’,开发者只需’提供CSP头配置’

备注: 取决于’浏览器’的’支持’程度

[3]、来限制’哪些外部资源(如JavaScript、CSS、图像等)‘可以’被加载’,从’哪些url’加载

  1. 大大增强了’网页的安全性’,攻击者即使发现了漏洞,'也没法’注入脚本

![](https://img-blog.csdnimg.cn/e5685513d170484dbc00b23f038329db.png)


②  启用CSP的两种方法


![](https://img-blog.csdnimg.cn/f94b2c4b5fac4d4489d30055ee256ff8.png)

方式1: --> 添加’响应头’,注意"单双引号"嵌套

add_header Content-Security-Policy “script-src ‘self’; object-src ‘none’”;

方式2: --> html中’head标签’内嵌’meta标签’

优先级: 如果 HTTP 头与 Meta 定义’同时’存在,则’优先采用 HTTP 中’的定义


③   CSP语法

  1. default-src是’CSP指令’,多个指令之间用’英文分号;'分割;

  2. 'self’是’source’值,'多个’指令值用’英文空格’分割


④  [CSP指令汇总]( )  [各个指令的解读]( )

实质: ‘资源类型’ 限制选项,掌握’常见’的即可

  1. script-src:定义’js文件’的过滤策略

  2. style-src: 样式表’css’

  3. img-src: 图像’各种格式’

  4. media-src: 媒体文件’音频和视频’ --> 如’ , '等元素

  5. font-src: 字体文件

  6. object-src:插件’比如 Flash’

  7. child-src: 框架

  8. frame-src: 嵌入的’子frame’资源 ‘比如、、’

  9. connect-src:定义请求连接文件的过滤策略 ‘(通过 XHR、WebSockets、EventSource等)’

    script-src * ‘self’ ‘unsafe-eval’ ‘unsafe-inline’ blob: data: gap:;

  10. worker-src:worker脚本 --> “了解”

  11. manifest-src:‘manifest 文件’

  12. default-src ‘self’ 用来设置上面’各个选项’的’默认’值 --> “当前域名”,需要’加引号’

备注: 如果同时设置某个单项限制’比如font-src’和’default-src’,前者会’覆盖’后者

+++++++++++ “其它” +++++++++++

base-uri:限制’<base#href>’

form-action:限制’<form#action>’

重点1:如果同一个限制选项’使用多次’,只有’第一次’会生效

重点2:由于 img-src ‘不存在’,它使用的是 ‘default-src’;如果’存在’,则会’覆盖’


[Content Security Policy (CSP)中blob:的用法]( )中blob:的用法 ")  [object-src blob]( )  [blob协议]( )


⑤ [scp官网default-src指令解读]( )   [default-src指令]( )


![](https://img-blog.csdnimg.cn/15d117af695041e59faa1403683fdb8c.png)


![](https://img-blog.csdnimg.cn/5c4ac2f8db044a289aa822baa5f39360.png)


![](https://img-blog.csdnimg.cn/15f0b5117ae444ada9bd28a09c7e4ab4.png)


![](https://img-blog.csdnimg.cn/268f345b3d9d4af2a2dd8c4a044c3ee1.png)


⑥    CSP 常用source值

+++++++ “(1) host-source” +++++++

备注: ‘推荐’完整的白名单,尽量不只使用’协议’或’通配符’


![](https://img-blog.csdnimg.cn/8fdda8c298b346c691193ca3643b800c.png)


[source相关参考]( )

每个’CSP限制选项’可以设置’以下几种值’,这些值就构成了’白名单’。

  1. 多个主机名:example.org https://example.com:443

  2. 带url:example.org/resources/js/

  3. 通配符:.example.org,😕/.example.com:‘(表示任意协议、任意子域名、任意端口)’

  4. 关键字’self’:当前域名,需要’加引号’

  5. 关键字’none’:‘禁止’加载任何外部资源,需要加’引号’

+++++++ “(2) scheme-source” +++++++


![](https://img-blog.csdnimg.cn/a1a131ee59dc4b73a7495b9fab27a94a.png)


 [data:协议]( )

网上学习资料一大堆,但如果学到的知识不成体系,遇到问题时只是浅尝辄止,不再深入研究,那么很难做到真正的技术提升。

需要这份系统化资料的朋友,可以点击这里获取

一个人可以走的很快,但一群人才能走的更远!不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!

2401_84247760
关注
  • 4
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Vue进阶(三十三)Content-Security-Policy(CSP)详解
IT全栈 华强工作室
09-05 6935
跨域脚本攻击(XSS)是最常见、危害最大的网页安全漏洞。XSS 攻击利用了浏览器对于从服务器所获取的内容的信任。恶意脚本在受害者的浏览器中得以运行,因为浏览器信任其内容来源,即使有的时候这些脚本并非来自于它本该来的地方。为了防止它,要采取很多编程措施(比如大多数人都知道的转义、过滤HTML)。很多人提出,能不能根本上解决问题,即浏览器自动禁止外部注入恶意脚本?这就是"内容安全策略"(,缩写CSP)的由来。CSP。
常见四种“缺失或不安全”问题
各自安好、的博客
07-27 8558
常见的缺失或不安全问题 1、“Content-Security-Policy缺失或不安全 2、“X-Content-Type-Options”缺失或不安全 3、“X-XSS-Protection”缺失或不安全 4、设置HTTP请求(X-Frame-Options) 解决办法: 定义过滤器,并在启动类中添加注入 import javax.servlet.*; import javax.servlet.http.HttpServletRequest; import javax.servlet.htt
HTTP响应未设置‘Content-Security-Policy
weixin_46356409的博客
01-18 2564
当HTTP响应未设置’Content-Security-Policy’时,表示服务器没有为网页设置内容安全策略(Content Security Policy,CSP)。通过设置内容安全策略,可以限制浏览器加载哪些类型的资源,从而提高网站的安全性。网站容易受到XSS攻击:如果没有设置内容安全策略,攻击者可以在网站上注入恶意脚本,从而窃取用户信息、篡改网页内容或进行其他恶意操作。网站性能可能受到影响:如果没有设置内容安全策略,浏览器需要下载和执行所有类型的资源,这可能会导致网站性能下降。
HTTP 响应Content-Security-Policy
focus on security
08-24 9288
HTTP 响应Content-Security-Policy允许站点管理者控制用户代理能够为指定的页面加载哪些资源。除了少数例外情况,设置的政策主要涉及指定服务器的源和脚本结束点。这将帮助防止跨站脚本攻击(Cross-Site Script)(XSS)。 如需更多信息,请查阅Content Security Policy (CSP)。 禁止修改的消息首部指的是不能在代码中通过编程的方式进行修改的HTTP协议消息首部。本文仅讨论相关的HTTP请求首部(关于禁止修改的响应首部,请参考Forbidd..
Content-Security-Policy
GalaxySpaceX的博客
09-12 441
Content-Security-Policy
X-Frame-Options未设置 防止网页被iframe内框架调用
09-30
然而,对于不支持此功能的较旧浏览器,可能需要采用其他安全策略,如Content Security Policy (CSP) 的frame-ancestors指令。 **总结** 确保正确设置X-Frame-Options响应是增强网站安全的重要步骤,能有效防御...
headers-more-nginx-module-0.34
08-10
1. 安全增强:通过设置X-XSS-Protection、X-Content-Type-Options、Content-Security-Policy部,提升网站的安全性。 2. 缓存控制:精确控制资源的缓存策略,比如针对静态资源设置长期缓存,对于动态内容设置短...
iis、apache、nginx使用X-Frame-Options防止网页被Frame的解决方法
09-30
【X-Frame-Options详解及应用】 ...这一特性旨在防止点击劫持(Clickjacking)攻击,即攻击者利用透明iframe覆盖目标网页,诱使...对于不同的服务器环境,都有相应的配置方法来设置这一响应,以确保内容不被非法嵌入。
X-Frame-Options未配置漏洞修复参考v1.0.docx
06-03
同时,随着浏览器安全策略的演变,考虑使用更现代的安全特性,如Content Security Policy(CSP)的`frame-ancestors`指令,它可以提供更细粒度的控制,并且在X-Frame-Options不受支持的场景下提供额外保护。...
https-nginx-guide:如何使用Nginx设置HTTPS
05-11
add_header Content-Security-Policy "default-src 'self'"; # CSP策略,仅允许加载自身资源 root /var/www/mysite; # 网站根目录 index index.html index.htm; location / { try_files $uri $uri/ =404; } ...
response.setHeader参数详解
漠然空间
02-15 906
 response.setHeader 是用来设置返回页面的 meta 信息,使用时 response.setHeader( name, contect );meta是用来在HTML文档中模拟HTTP协议的响应报文。meta 标签用于网页的与中1、用以说明生成工具(如Microsoft FrontPage 4.0)等; 2、向搜索引擎说明你的网页的关键词;
Web和java代码安全问题
baby_you_Know的博客
11-27 494
扫描所用工具 APPSCAN web扫描工具 Fortify java扫描工具 1登录后要清掉session和cookie 实现 //清除掉以前的session request.getSession(true).invalidate();//清空session Cookie cookie = request.getCookies()[0];//获取cookie cookie.setMaxAge(0...
响应缺少或者配置了不安全content-security-policy属性_这些bug你遇到过几个?盘点10个常见安全测试漏洞及修复建议...
weixin_39559015的博客
11-21 1万+
随着互联网技术的飞速发展,业务的开展方式更加灵活,应用系统更加复杂,也因此面临着更多的安全性挑战。安全测试是在应用系统投产发布之前,验证应用系统的安全性并识别潜在安全缺陷的过程,目的是防范安全风险,满足保密性、完整性、可用性等要求。  日常测试过程中经常遇到开发同事来询问一些常见的配置型漏洞应该如何去修复,为了帮助开发同事快速识别并解决问题,通过总结项目的安全测试工作经验,笔者汇总、分析了应用系统...
Response.AddHeader实现下载,解决乱码问题
xue251248603的专栏
11-16 1万+
asp.net实现文件下载,修改文件名称,解决乱码问题,分块下载,缓解服务器压力。多种下载方法
response 设置响应的常用几种方法
sihei的专栏
09-03 6617
response 设置响应的常用几种方法 1.Location  的用法 response.setStatus(302)//临时定向响应response.setHeader("Location", "/day03_00_ResponseHeader/servlet/ResponseHeaderDemo2");///day03_00_ResponseHeader/servlet/Re
AppScan检测“Content-Security-Policy缺失或不安全
liudoyang的博客
12-31 2万+
Content-Security-Policy缺失或不安全 用AppScan对url进行检测出现“Content-Security-Policy缺失或不安全问题 解决方法: 在拦截器或者过滤器中添加 response.setHeader("Content-Security-Policy", "default-src 'self'; script-src 'self'; frame-anc...
response.setHeader()方法设置http文件的值
热门推荐
yangf1275的专栏
01-23 3万+
8.1  HTTP应答概述                  Web服务器的HTTP应答一般由以下几项构成:一个状态行,一个或多个应答,一个空行,内容文档。设置HTTP应答往往和设置状态行中的状态代码结合起来。例如,有好几个表示“文档位置已经改变”的状态代码都伴随着一个Location,而401(Unauthorized)状态代码则必须伴随一个WWW-Authenticate。     
Content-Security-Policy,X-Frame-Options未设置”警告的过滤器
baiyongliang
05-23 8507
安全监测反馈如下: 有时候为了防止网页被别人的网站iframe,我们可以通过在服务端设置HTTP部中的X-Frame-Options信息。 X-Frame-Options 响应有三个可选的值: DENY:页面不能被嵌入到任何iframe或frame中; SAMEORIGIN:页面只能被本站页面嵌入到iframe或者frame中; ALLOW-FROM:页面允许frame或frame...
add_header Content-Security-Policy-Options
最新发布
06-06
如果你在设置响应时使用 `add_header Content-Security-Policy-Options`,通常是配合 `Content-Security-Policy` 来提高站点的安全性。例如: ```http add_header Content-Security-Policy-Options "report-uri /...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值