前端安全-内容安全策略CSP(Content Security Policy)

最新推荐文章于 2024-05-16 14:15:50 发布
最新推荐文章于 2024-05-16 14:15:50 发布
阅读量2.9k 收藏 4
点赞数 1
分类专栏: 前端安全 文章标签: 前端安全-内容安全策略CSP CSP指令和指令值 CSP响应头部设置和标签设置 report-uri xss跨站脚本攻击
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/AIWWY/article/details/129670472
版权

目录

CSP

xss

使用方法

http头部设置

meta标签设置

策略集组成

常见指令

default-src

report-uri

示例 

指令(属性)

 指令值(属性值)

CSP学习链接 

CSP

内容安全策略,为了页面内容安全而制定的一系列防护策略。可以通过CSP指定策略来规定页面加载的内容来源(这里的内容可以指脚本、图片、iframe、style等等可能的远程的资源)。

也可以理解为以个加载内容的白名单制度,开发者明确告诉客户端,哪些外部资源可以加载和执行。严格规定页面中有哪些资源,不在指定范围内的统统拒绝。它的实现和执行全部由浏览器完成,开发者只需提供配置。

其中指定脚本加载(script-src)可以有效的防止xss(跨站脚本攻击)。

xss

XSS(简介、原理、攻击类别(反射、存储、DOM型)、防范方式及原则、攻击举例及防范举例、XSS练习题及答案、XSS深入)_YF-SOD的博客-CSDN博客

使用方法

通过Content-Security-Policy:” 策略集"或Content-Security-Policy-Report-Only:” 策略集"来配置。当http header和meta标签都设置了的时候,浏览器会优先使用http header设置的csp策略。

Content-Security-Policy-Report-Only表示不会限制加载的内容,只是对加载内容不符合策略要求的进行上报,通过HTTP 请求发送到指定URI。故Content-Security-Policy-Report-Only必须与report-uri选项配合使用

http头部设置

meta标签设置

<meta http-equiv="content-security-policy" content="策略集">
<meta http-equiv="Content-Security-Policy" content="script-src 'self'; object-src 'none'; style-src cdn.example.org third-party.org; child-src https:">

策略集组成

策略集由指令、空格、指令值、分号组成,不同的指令值之间以空格分割,不同指令之间以分号(;)分割。

可以把指令理解为属性,指令值理解为属性对应的值,一个属性可对应多个值,多值之间以空格分割,属性之间以分号分割。

常见指令

default-src

表示为下图所有指令未设置时的默认加载策略。

report-uri

违规指令上报的uri地址,浏览器会使用POST方法,发送一个JSON对象将违规的日志上报。

示例 

Content-Security-Policy-Report-Only: default-src https:; report-uri /csp-violation-report-endpoint/

表示当默认加载策略(所有未设置指令的默认值)不是https请求时,会将日志上报到网页域名拼接 /csp-violation-report-endpoint/的uri地址。

指令(属性)

 

 指令值(属性值)

注意带引号的是不能将引号去掉的

CSP学习链接 

HTTP中的CSP ( Content Security Policy )内容安全策略 - 掘金 

YF-SOD
关注
  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
前端内容安全策略csp)(1),2024年最新30岁转行程序员
2301_77118221的博客
04-16 644
最近遍览了各种网络安全类的文章,内容参差不齐,其中不伐有大佬倾力教学,也有各种不良机构浑水摸鱼,在收到几条私信,发现大家对一套完整的系统的网络安全从学习路线到学习资料,甚至是工具有着不小的需求。相比起繁琐的文字,还是生动的视频教程更加适合零基础的同学们学习,这里也是整理了一份与上述学习路线一一对应的网络安全视频教程。当然,当你入门之后,仅仅是视频教程已经不能满足你的需求了,你肯定需要学习各种工具的使用以及大量的实战项目,这里也分享一份。多个资源时,后面的会覆盖前面的。最后就是项目实战,这里带来的是。
Vue进阶(三十三)Content-Security-PolicyCSP)详解
IT全栈 华强工作室
09-05 6192
跨域脚本攻击(XSS)是最常见、危害最大的网页安全漏洞。XSS 攻击利用了浏览器对于从服务器所获取的内容的信任。恶意脚本在受害者的浏览器中得以运行,因为浏览器信任其内容来源,即使有的时候这些脚本并非来自于它本该来的地方。为了防止它,要采取很多编程措施(比如大多数人都知道的转义、过滤HTML)。很多人提出,能不能根本上解决问题,即浏览器自动禁止外部注入恶意脚本?这就是"内容安全策略"(,缩写CSP)的由来。CSP
Vue进阶(三十三)Content-Security-PolicyCSP)详解_content-security-policy前端和后端(1)
最新发布
2401_84617302的博客
05-16 555
CSP) 是一种加固 Web 应用的安全性技术,通过在网站页面中设置 CSP Header 来限制页面中能够执行的脚本、样式、图片等资源。CSP 包括很多不同的策略,因此安全设置的具体取决目标网站的需求和资源使用情况。一般而言,建议设置较为严格的 CSP,以避免XSSCSRF等安全问题。以上设置CSP 规则禁止所有来自第三方网站的资源,只允许本网站的资源加载。其中script-src只允许本网站和 example.com 的脚本加载,img-src只允许本网站和 data: URI 的图片加载,
Content Security Policy设置
阳光
06-06 4971
Content Security Policy (CSP) 是一种加固 Web 应用的安全性的技术,通过在网站页面中设置 CSP Header 来限制页面中能够执行的脚本、样式、图片等资源。其中 script-src 只允许本网站和 example.com 的脚本加载,img-src 只允许本网站和 data: URI 的图片加载,style-src 只允许本网站和内联样式加载,font-src 只允许本网站和 example.com 的字体加载。请根据实际情况进行调整。
web安全测试之appscan – “Content-Security-Policy”头缺失或不安全
Programming
06-05 1万+
web安全测试之appscan – “Content-Security-Policy”头缺失或不安全 - 猿码设计师https://www.yuanmadesign.com/ymdesign/appscan-web-testAppscan是一款安全漏洞扫描软件,由IBM公司研发,后又被卖给了印度公司HCL。在web安全测试中,今天我们说下扫描结果中包含Content-Security-Policy请求头header的缺失或不安全的时候,我们该如何应对。首先,它的严重性低。AppScan 检测到 Conten
【已解决】“Content-Security-Policy”头缺失
专注于Java领域开发 关注我 带你玩转Java
06-16 9745
【已解决】“Content-Security-Policy”头缺失
内容安全策略 Content-Security-Policy
热门推荐
qq_30436011的博客
10-24 3万+
1、限制资源获取:限制网页当中一系列的资源获取的情况,从哪里获取,请求发到哪个地方限制方式:default-src限制全局的和链接有关的作用范围根据资源类型(connect-src、img-src等),限制资源范围2、报告资源获取越权:在网页当中获取了一些我们不应该获取的资源的时候,给服务进行报告,报告资源获取越权,然后做出调整之所以报这个错误,就是我们加了这个头的作用。这个时候 inline脚本还是不能执行的。如果引入外链的脚本文件,则会报错,这样就可限制,只能使用我们本站使用的脚本。
Content-Security-Policy-sandbox:一个可以与CSP一起玩的lil应用程序
05-09
内容安全策略Content Security Policy,简称CSP)是一种用于防止跨站脚本攻击XSS)的安全机制。它允许网站管理员定义一个白名单,只允许加载和执行来自特定源的资源,从而有效地阻止了恶意代码的注入。在这个名...
前端性能优化与Web安全
08-26
- 防御措施包括特殊字符过滤,使用Content Security PolicyCSP)限制脚本执行。 2. **CSRF攻击**: - CSRF攻击者冒充用户执行操作,防范手段有添加验证码、检查Referer字段、资源防盗链、使用校验Token等。 3....
Web-安全渗透全套教程02安全渗.zip
05-22
预防方法包括正确地转义用户输入、使用Content Security Policy (CSP)等。 2. **跨站请求伪造(CSRF)**:CSRF攻击利用用户的已登录状态,诱使用户在不知情的情况下执行恶意操作。防止CSRF的方法有使用CSRF令牌,确保...
Web-安全渗透全套教程20XSS跨.zip
05-22
4. 防御策略:学习如何使用编码转义、输入验证、Content Security Policy (CSP)等技术来防止XSS攻击。 5. 工具使用:可能介绍一些常用的XSS测试工具,如Burp Suite、OWASP ZAP等,以及如何使用它们进行漏洞检测。 ...
安全教育」3_ZN2018_WV_-_CSP_bypass - 威胁情报.zip
12-04
安全教育】3_ZN2018_WV_-_CSP_bypass - 威胁情报.zip 这个压缩包文件聚焦于网络安全教育,特别是针对Web应用中的Content Security PolicyCSP)绕过威胁,这是一项重要的防御机制,用于防止跨站脚本攻击(XSS)和...
Web 安全内容安全策略Content-Security-Policy,CSP)配置问题
baiyongliang
05-23 3万+
简单的配置方式:Content-Security-Policy,X-Frame-Options头未设置”警告的过滤器 1.CSP 简介 内容安全策略Content Security Policy,简称CSP)是一种以可信白名单作机制,来限制网站是否可以包含某些来源内容,缓解广泛的内容注入漏洞,比如 XSS。 简单来说,就是我们能够规定,我们的网站只接受我们指定的请求资源。默认配置下不允许执行...
http内容安全策略Content Security Policy(CSP)
focus on security
08-24 5649
内容安全策略CSP安全性的附加层,有助于检测和缓解某些类型的攻击,包括跨站点脚本(https://owasp.org/www-community/attacks/xss/)和数据注入攻击。这些攻击可用于从数据盗窃,站点损坏到恶意软件分发的所有方面。 CSP被设计为完全向后兼容(除CSP版本2,其中有在向后兼容性一些明确提到的不一致性)。不支持它的浏览器仍然可以与实现它的服务器一起使用,反之亦然:不支持CSP的浏览器只是忽略它,照常运行,默认为Web内容的标准同源策略。如果站点不提供CSP标头,则浏览器同
CSP 内容安全策略
阿道夫的博客
01-03 484
Content-Security-PolicyContent-Security-Policy-Report-Only,也可以同时使用,Content-Security-Policy带有策略强制性,而Content-Security-Policy-Report-Only中的策略只产生报告不具有强制性。CSP(Content-Security-Policy)内容安全策略,官方解释:CSP是一个额外的完全层,用于检测并小若某些特定类型的攻击,包括跨站脚本攻击XSS和数据注入攻击等。2. 前端通过标签进行配置。
2024世界技能大赛某省选拔赛“网络安全项目”B模块--数字取证解析
2401_84247760的博客
04-28 229
在结束之际,我想重申的是,学习并非如攀登险峻高峰,而是如滴水穿石般的持久累积。尤其当我们步入工作岗位之后,持之以恒的学习变得愈发不易,如同在茫茫大海中独自划舟,稍有松懈便可能被巨浪吞噬。然而,对于我们程序员而言,学习是生存之本,是我们在激烈市场竞争中立于不败之地的关键。一旦停止学习,我们便如同逆水行舟,不进则退,终将被时代的洪流所淘汰。因此,不断汲取新知识,不仅是对自己的提升,更是对自己的一份珍贵投资。让我们不断磨砺自己,与时代共同进步,书写属于我们的辉煌篇章。需要完整版PDF学习资源私我。
前端设置Content-Security-Policy
petterDong的博客
06-05 2万+
Content-Security-Policy 1.什么是 Content-Security-Policy? 首先W3C的官方解释链接 Content-Security-Policy MDN的链接配置 Content-Security-Policy 简单来说: 跨域脚本攻击 XSS 是最常见、危害最大的网页安全漏洞。为了防止它们,浏览器自动禁止外部注入恶意脚本. CSP 的实质就是白名单制度,开发者明确告诉客户端,**哪些外部资源可以加载和执行,**等同于提供白名单。它的实现和执行全部由浏览器完成,开发者只
Nginx配置Http响应安全策略
RisunJan的博客
10-22 1万+
1. 防止跨站脚本攻击XSS):通过设置`CSP(Content-Security-Policy)`,可以限制浏览器只加载和执行来自特定来源的脚本,从而防止恶意脚本注入和执行。 2. 防止点击劫持攻击:通过设置`X-Frame-Options`响应头,可以防止网页被嵌入到其他网站的`iframe`中,避免用户在不知情的情况下触发恶意代码。 3. 提高网站安全性:通过设置`STS(Strict-Transport-Security)`响应头,强制浏览器使用`HTTPS协议`与服务器通信,从而防止信息在传输过
CSP内容安全策略原理与绕过
st3pby的博客
11-09 2538
Content Security PolicyCSP内容安全策略,是一个附加的安全层,有助于检测并缓解某些类型的攻击,包括跨站脚本(XSS)和数据注入攻击。
WEB前端安全之同源策略.pdf
07-02
WEB前端安全之同源策略.pdf

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值