XSS防御 内容安全策略 CSP工作原理、配置技巧与最佳实践_安全策略 img-src

最新推荐文章于 2024-07-09 17:15:00 发布
最新推荐文章于 2024-07-09 17:15:00 发布
阅读量1.1k 收藏 12
点赞数 12
文章标签: xss 前端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2401_84297944/article/details/138233640
版权

CSP的作用

  1. 限制了那些域的资源可以加载并且执行;
  2. 阻止内联脚本和页面上的事件处理;
  3. 控制静态资源的加载;
  4. 记录策略违规报告

启用CSP机制

一、创建 CSP 策略

CSP策略是设置了许多内容源的字符串,内容源可以对协议、主机host、关键词等等。比如

Content-Security-Policy: default-src 'self'; img-src https://\*; child-src 'none';

测试CSP策略的在线工具

二、添加 CSP 策略

开发者可以通过下面的手段通知浏览器那些资源是安全的,可加载执行的;哪些请求应该拒绝;

  • 服务器端通过设置HTTP header Content-Security-Policy
  • 网页HTML文件中添加meta标签**<meta http-equiv="Content-Security-Policy" content="default-src 'self'; img-src https://*; child-src 'none';">**

XSS防御:内容安全策略 CSP工作原理与配置技巧

CSP 指令列表

💡 CSP 定义了一系列的指令,每个指令控制一个特定的策略。

  1. default-src:这是CSP的默认指令,如果没有设置其他CSP指令,那么默认指令将会用于所有的内容类型。例如,对于以下HTML代码:

Content-Security-Policy: default-src 'self'

这告诉浏览器只能从当前域名加载所有类型的内容(脚本、图片、样式等等)。
2. script-src: 定义了哪些源的脚本可以被安全地执行。例如:

Content-Security-Policy: script-src 'self' https://cdnjs.cloudflare.com

这表示只能从当前源,以及 https://cdnjs.cloudflare.com ,加载和运行脚本。
3. style-src:定义哪些源的样式可以被安全地加载和应用。例如:

Content-Security-Policy: style-src 'self' https://fonts.googleapis.com

这表示只能从当前源和https://fonts.googleapis.com,加载和应用样式。
4. img-src:定义哪些源的图像可以安全地加载。例如:

Content-Security-Policy: img-src 'self' data: https://cdn.example.net

这表示浏览器只允许加载来自当前源,data: URLs,以及 https://cdn.example.net 的图像。
5. connect-src:定义了通过脚本 (例如 Fetch API, XMLHttpRequest 或 WebSockets) 连接的源。例如:

Content-Security-Policy: connect-src 'self' https://api.example.com
6. font-src:指定了哪些源的字体可以被安全地加载。例如:

Content-Security-Policy: font-src 'self' https://fonts.gstatic.com
7. object-src:指定了,,和元素能够加载资源的源。例如:

Content-Security-Policy: object-src 'none'

这告诉浏览器不要从任何源加载插件类型的内容。
8. frame-src:指定了可以在<\frame>或<\iframe>元素中嵌入的源。例如:

还有兄弟不知道网络安全面试可以提前刷题吗?费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!

王岚嵚工程师面试题(附答案),只能帮兄弟们到这儿了!如果你能答对70%,找一个安全工作,问题不大。

对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!

【完整版领取方式在文末!!】

93道网络安全面试题

内容实在太多,不一一截图了

黑客学习资源推荐

最后给大家分享一份全套的网络安全学习资料,给那些想学习 网络安全的小伙伴们一点帮助!

对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。

😝朋友们如果有需要的话,可以联系领取~

1️⃣零基础入门
① 学习路线

对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。

image

② 路线对应学习视频

同时每个成长路线对应的板块都有配套的视频提供:

image-20231025112050764

2️⃣视频配套工具&国内外网安书籍、文档
① 工具

② 视频

image1

③ 书籍

image2

资源较为敏感,未展示全面,需要的最下面获取

在这里插入图片描述在这里插入图片描述

② 简历模板

在这里插入图片描述

因篇幅有限,资料较为敏感仅展示部分资料,添加上方即可获取👆

网上学习资料一大堆,但如果学到的知识不成体系,遇到问题时只是浅尝辄止,不再深入研究,那么很难做到真正的技术提升。

需要这份系统化资料的朋友,可以点击这里获取

一个人可以走的很快,但一群人才能走的更远!不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!

2401_84297944
关注
  • 12
    点赞
  • 12
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
【网络安全 | 浏览器安全机制】内容安全策略CSP)及沙箱环境
等风来
08-25 7290
以上为浏览器安全机制之内容安全策略CSP)及沙箱环境详析,内容安全策略CSP)和沙箱环境在Web应用程序和浏览器内提供了额外的安全层,有助于防止恶意攻击和数据泄露,读者可深入学习。我是秋说,我们下次见。
内容安全策略(CSP)详解
weixin_47450807的博客
03-02 8246
在上一篇博客我们主要总结了XSS攻击,本篇博客主要总结内容安全策略CSP的相关内容。 一、定义 内容安全策略(CSP),是一种安全策略,其原理是当浏览器请求某一个网站时,告诉该浏览器申明文件可以执行,什么不可以执行。CSP是专门解决XSS攻击而生的神器。 CSP的引入会使得我们的引入扩展程序更加安全,并且可以由开发者指定可以加载扩展程序的类型,避免恶意的脚本在浏览器中执行,造成信息泄露问题。 二、CSP的意义 CSP是防XSS的利器,可以把其理解为白名单,开发者通过设置CSP内容,来规定浏览器可以加载的资
XSS防御:内容安全策略 CSP工作原理配置技巧最佳实践
乐闻世界
12-13 944
公司部门安全合规改造计划,要求所有的Web站点统一添加CSP规则。对于CSP机制我只是之前在应付面试的时候背过相关的概念,并没有真正在项目中实践过。所以希望借助本次改造任务好好理解并实践CSP机制。CSP的全称是,翻译成中文就是内容安全策略CSP是一个计算机安全标准,通过定义允许在置顶网络应用中加载的来源类型,以保护网页不受跨站站点脚本XSS和数据注入攻击等安全攻击。它的基本工作原理其实就是白名单机制,CSP 通过告诉浏览器一系列规则,严格规定页面中哪些资源允许有哪些来源,不在指定范围内的通通拒绝。
关于开发人员需要注意的网络攻防知识梳理
最新发布
Zetang_Wu的博客
07-09 578
对:DDos攻击 struct2漏洞攻击 cookie、storage窃取 csrf(跨站请求伪造)防护 xss(跨站脚本攻击)防护的个人理解的整体梳理
内容安全策略 (CSP)
allway2的博客
09-05 6356
base64, iVBORw0KGgoAAAANSUhEUgAAAAUA%0A AAAFCAYAAACNbyblAAAAHElEQVQI12P4//8/w38GIAXDIBKE0DHxgljNBAAO%0A 9TXL0Y4OHwAAAABJRU5ErkJggg==',因为它违反了以下内容安全策略指令:“default-src.'none 请注意,'img-src' 没有显式设置,所以 'default-src' 用作后备。,因为它违反了以下内容安全策略指令:“default-src 'none'”。
CSP 内容安全策略, 介绍, 配置CSP策略, CSP实战绕过
探测???
11-06 3983
CSP内容安全策略)是一种额外的安全层,可以帮助检测和减轻某些类型的攻击,如跨站脚本攻击(XSS)和数据注入攻击。CSP允许网站管理员定义哪些动态资源允许执行和加载,有助于防止恶意脚本执行以及非授权内容的加载。通过使用HTTP头部,网站可以控制用户代理如何执行页面的特定部分,这可以显著减少XSS攻击的风险。default-src:设置默认加载资源的策略(例如,自身的源、任何地方的源、或者不加载任何外部资源)。
CSP内容安全策略
weixin_45960266的博客
03-02 916
需要注意的是,正确地配置CSP需要开发者对Web应用程序中的资源来源有深入的了解,并进行适当的配置。同时,CSP本身也存在一些局限性,例如无法防止服务器端攻击等问题,因此需要综合使用其他安全技术来保护Web应用程序的安全。CSP还可以指定允许的图片、样式表、字体和其他资源的来源,以及禁止使用内联脚本和样式等不安全的内容内容安全策略CSP,Content Security Policy)是一种通过限制浏览器执行不安全内容来减少跨站点脚本攻击(XSS)等Web攻击的机制。
CSP内容安全策略详解.zip
03-31
**内容安全策略(Content Security Policy, CSP)**是现代Web应用程序中一种重要的安全特性,用于防御跨站脚本(XSS)攻击和其他恶意代码注入。它允许网站管理员通过定义一个策略来控制页面可以加载哪些资源,如脚本...
CSP内容安全策略详解
Songxianshengbei的博客
03-31 784
除了Content-Security-Policy字段外,CSP还支持其他一些相关的字段,如Content-Security-Policy-Report-Only用于报告模式,即只记录违反策略的行为而不阻止其执行;这些规则可以是具体的URL、域名、协议等,也可以是特殊的关键字,如'self'表示允许加载来自同一来源的资源。此外,CSP还支持一些其他指令和特性,如default-src用于设置所有未明确指定类型的资源的默认来源规则,nonce和hash用于验证资源的完整性等。
内容安全策略CSP)详解
热门推荐
柱哥的博客
04-18 2万+
内容安全策略CSP),其核心思想十分简单:网站通过发送一个 CSP 头部,来告诉浏览器什么是被授权执行的与什么是需要被禁止的。其被誉为专门为解决XSS攻击而生的神器。
CSP 内容安全策略
qq_53058639的博客
01-09 363
Content-Security-Policy和Content-Security-Policy-Report-Only,也可以同时使用,Content-Security-Policy带有策略强制性,而Content-Security-Policy-Report-Only中的策略只产生报告不具有强制性。CSP(Content-Security-Policy)内容安全策略,官方解释:CSP是一个额外的完全层,用于检测并小若某些特定类型的攻击,包括跨站脚本攻击XSS和数据注入攻击等。2. 前端通过标签进行配置
「 网络安全术语解读 」内容安全策略CSP详解
所有成功的背后,都是痛苦的坚持,所有的痛苦,都是傻瓜般的不放弃!
01-09 2741
CSP(Content Security Policy,内容安全策略)是一种网络安全技术,它通过限制网页中可以加载的资源(如脚本和图像),来防止恶意攻击,如跨站脚本攻击(XSS)。CSP的主要原理是通过在网页中实施一些安全策略来限制代码执行,从而减少攻击者利用的机会。Note:要启用CSP,响应需要包含名为的HTTP响应标头,该标头的值包含策略。策略本身由一个或多个指令组成,由分号分隔。
内容安全策略( CSP )
automation13的博客
11-10 279
内容安全策略 (CSP) 是一个额外的安全层,用于检测并削弱某些特定类型的攻击,包括跨站脚本 (XSS)和数据注入攻击等。(摘自MDN) 具体内容请参考MDN:https://developer.mozilla.org/zh-CN/docs/Web/HTTP/CSP 对于XSS攻击的防止,请参“美团技术团队”公众号,相关文章地址:https://segmentfault.com/a/1190000016551188 对于React和Vue,XSS攻击已经在框架里进行了防范,但是使用 dan...
CSP内容安全策略
dzqxwzoe的博客
01-09 1688
内容安全策略 (CSP是一个附加的安全层,有助于检测和缓解某些类型的攻击,包括跨站点脚本(XSS)和数据注入攻击。这些攻击用于从数据窃取到网站污损或恶意软件分发的所有事情。
xssCSP
oubasangdadada的博客
03-11 359
CSP CSP的防护 CSP 的核心就是利用同源策略来实现对资源加载的控制,CSP 的一些资源控制: script-src 控制脚本资源 object-src 控制embed, code, archive applet等对像 style-src 控制样式表@import和rel引入的资源 img-src 控制图片资源,包括imgsrc, CSS3中的url()和image()方法,li...
内容安全策略(Content Security Policy,CSP
AiENG_07的博客
10-16 305
CSP是一组浏览器安全标头的规范,通过这些标头,网站所有者可以告诉浏览器哪些资源可以加载并执行,以及哪些不可以。这有助于防止恶意脚本的注入,因为浏览器将拒绝加载不符合CSP规则的内容内容安全策略(Content Security Policy,CSP)是一个重要的安全机制,用于帮助保护网站免受恶意攻击和跨站脚本(XSS)等安全威胁。总之,CSP是一个有助于提高网站安全性的重要工具,但需要谨慎配置和管理,以确保安全性与功能之间的平衡。
理解Web安全:XSS攻击类型与防御策略
"Web安全之XSS攻击与防御小结" XSS攻击是Web应用程序中常见的安全威胁之一,它涉及到攻击者向网站注入恶意脚本,这些脚本在用户的浏览器中执行,可能导致敏感信息泄露、会话劫持或者执行其他恶意操作。攻击者通常...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值