前端的CSP & CSP如何落地,了解一下

最新推荐文章于 2024-04-16 08:05:13 发布
VIP文章 最新推荐文章于 2024-04-16 08:05:13 发布
阅读量1k 收藏 3
点赞数 2
分类专栏: 前端基础 前端项目 前端面试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Arui_0/article/details/108382750
版权

CSP(Content-Security-Policy)是一个HTTP response header, 它描述允许页面控制用户代理能够为指定的页面加载哪些资源, 可防止XSS攻击

使用方式:

Content-Security-Policy: 指令1 指令1的值1 指令1的值2 指令1的值3; 指令2 指令2的值1 指令2的值2
复制代码

调试工具: Chrome插件——modheader。通过随意设置响应头来测试CSP
简单过一遍常见的指令
获取资源相关的指令

font-src
frame-src
img-src
script-src
media-src
style-src
...等等,其他参考MDN
复制代码

这些src规定了页面只能加载里面所设置的font、iframe、img、script... 这些资源,比如有一个html页面的response header是:

Content-Security-Policy: img-src a.b.c; script-src 'unsafe-inline' a.b.c; style-src 'self'
复制代码

表示只能加载来自 a.b.c 域的图片、a.b.c 域的脚本和行内脚本(如 <script>console.log(1)</script> )、只能加载自己域下的style

这些xx-src,一般常见的配置有:

host配置

可精确匹配也可通配符匹配:

https://*.qq.com
https://a.b.com
*.qq.com
www.qq.com
复制代码
<
最低0.47元/天 解锁文章
WEB前端含光
关注
  • 2
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
csp-evaluator
05-03
CSP评估程序核心库 介绍 请注意:这不是Google的官方产品。 通过CSP Evaluator,开发人员和安全专家可以检查内容安全策略( )是否可以有效地缓解。 它有助于审查CSP策略的过程,并帮助识别会破坏策略价值的细微CSP绕过。 CSP评估程序检查基于,旨在帮助开发人员强化其CSP并提高其应用程序的安全性。 仅为了方便开发人员而提供此工具,Google对此工具不提供任何担保或保证。 CSP Evaluator带有一个内置的常见CSP允许列表绕过列表,这些列表会降低策略的安全性。 此列表仅包含流行的绕行列表,绝不是完整的列表。 CSP评估程序库+前端部署在此处: : 正在安装 该库已发布到https://www.npmjs.com/package/csp_evaluator 。 您可以通过以下方式安装它: npm install csp_evaluator 建造 要构
内容安全策略( CSP )
加载中的博客
06-14 1178
内容安全策略   (CSP) 是一个额外的安全层,用于检测并削弱某些特定类型的攻击,包括跨站脚本 (XSS) 和数据注入攻击等。无论是数据盗取、网站内容污染还是散发恶意软件,这些攻击都是主要的手段。内容源大多数策略指令需要一个或多个内容源。内容源是一串表明内容可能从哪里加载的字符串。源列表源列表是一个字符串,指定了一个或多个互联网主机(通过主机名或 IP 地址),和可选的 URL 协议和/或端口号...
前端内容安全策略(csp)(1),2024年最新30岁转行程序员
最新发布
2301_77118221的博客
04-16 605
最近遍览了各种网络安全类的文章,内容参差不齐,其中不伐有大佬倾力教学,也有各种不良机构浑水摸鱼,在收到几条私信,发现大家对一套完整的系统的网络安全从学习路线到学习资料,甚至是工具有着不小的需求。相比起繁琐的文字,还是生动的视频教程更加适合零基础的同学们学习,这里也是整理了一份与上述学习路线一一对应的网络安全视频教程。当然,当你入门之后,仅仅是视频教程已经不能满足你的需求了,你肯定需要学习各种工具的使用以及大量的实战项目,这里也分享一份。多个资源时,后面的会覆盖前面的。最后就是项目实战,这里带来的是。
Web安全2.3:CSP安全策略、Cookie、Session、同源策略、HTML DOM树
LIHAO的博客
04-19 2376
文章目录Web安全2.3:CSP安全策略:一、CSP:1、CSP的部分命令:2、策略控制:(1)首先我们先把meta标签注释掉,如下:(2)我们这次只注释掉header:(3)两段CSP代码都不注释:3、CSP完整命令:二、Cookie安全:三、Session: Web安全2.3:CSP安全策略: 一、CSP: 浏览器是XSS等前端攻击的战场,有些浏览器附带一些安全策略,包含自带的XSS过滤、同源...
CSP 内容安全策略, 介绍, 配置CSP策略, CSP实战绕过
探测???
11-06 2997
CSP(内容安全策略)是一种额外的安全层,可以帮助检测和减轻某些类型的攻击,如跨站脚本攻击(XSS)和数据注入攻击。CSP允许网站管理员定义哪些动态资源允许执行和加载,有助于防止恶意脚本执行以及非授权内容的加载。通过使用HTTP头部,网站可以控制用户代理如何执行页面的特定部分,这可以显著减少XSS攻击的风险。default-src:设置默认加载资源的策略(例如,自身的源、任何地方的源、或者不加载任何外部资源)。
WebSocket详解
qq_62656514的博客
08-02 557
WebSocket是一种网络传输协议,可在单个TCP连接上进行全双工通信,位于OSI模型的应用层。WebSocket使得客户端和服务器之间的数据交换变得更加简单,允许服务端主动向客户端推送数据。在WebSocket API中,浏览器和服务器只需要完成一次握手,两者之间就可以创建持久性的连接,并进行双向数据传输。
CSP内容安全策略
dzqxwzoe的博客
01-09 1446
内容安全策略 (CSP是一个附加的安全层,有助于检测和缓解某些类型的攻击,包括跨站点脚本(XSS)和数据注入攻击。这些攻击用于从数据窃取到网站污损或恶意软件分发的所有事情。
catsup:通过从 HTML 中提取内联脚本来修复 CSP 错误
06-08
番茄酱作为输入 {filename: 'HTML filename',contents: 'HTML file contents'}退货 {html: {filename: 'HTML filename',contents: 'HTML file contents with scripts extracted and sourced'},js: [{filename: '...
前端安全:如何防止CSRF攻击?
02-24
当然,浏览器自身也在不断在进化和发展,不断引入CSP、Same-SiteCookies等新技术来增强安全性,但是仍存在很多潜在的威胁,这需要前端技术人员不断进行“查漏补缺”。近几年,美团业务高速发展,前端随之面临很多...
mage2_ext_csp:Magento 2模块收集CSP违规报告并消除JS控制台警告
05-07
CSP标头的指令,收集(分别针对管理和前端区域),然后生成新以消除控制台中的CSP警告。 用于分析报告和生成规则的Cron任务每小时开始一次。 该模块的主要目的是从JS控制台中完全消除CSP错误,但是您可以使用此模块...
Web前端安全
11-07
前端安全,xss、css、跨域、csp、编码等细节。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。
CSP-路径解析
GoodPeople233的博客
06-12 895
题目 问题描述   在操作系统中,数据通常以文件的形式存储在文件系统中。文件系统一般采用层次化的组织形式,由目录(或者文件夹)和文件构成,形成一棵树的形状。文件有内容,用于存储数据。目录是容器,可包含文件或其他目录。同一个目录下的所有文件和目录的名字各不相同,不同目录下可以有名字相同的文件或目录。   为了指定文件系统中的某个文件,需要用路径来定位。在类 Unix 系统(Linux、Max OS X、FreeBSD等)中,路径由若干部分构成,每个部分是一个目录或者文件的名字,相邻两个部分之间用 / 符号分隔
关于网页安全政策CSP
qq_40085888的博客
04-17 6204
Content Security Policy是一种防止恶意资源加载和请求的方式.它的实现和执行全部由浏览器完成,开发者只需提供配置。 在开发使用了CSP. 有一种方式是只需设置响应头,如下 response.addHeader("Content-Security-Policy","default-src 'self' 'unsafe-inline' 'unsafe-eval'"); 在设...
前端安全之csp
兄弟,摸鱼不
05-15 5855
最近前端项目被白帽子使用appscan扫到安全漏洞,老大勒令我们抓紧修复,我们先来看两个级别比较低的漏洞 看到这儿对于我个渣渣前端来说是懵逼的,难道我设置一下http header 就ok了 简单来介绍下什么叫做csp 内容安全策略 (CSP) 是一个额外的安全层,用于检测并削弱某些特定类型的攻击,包括跨站脚本 (XSS)和数据注入攻击等。无论是数据盗取、网站内容污染还是散发恶意...
CSP浅析与绕过
dzqxwzoe的博客
01-09 1695
CSP(Content Security Policy,内容安全策略),是网页应用中常见的一种安全保护机制,它实质就是白名单制度,开发者明确告诉客户端,哪些外部资源可以加载和执行,哪些不可以。
如何创建内容安全策略(CSP 标头)
allway2的博客
07-17 3924
script-src'self''unsafe-inline''unsafe-eval';add_headerPermissions-Policy"camera=(),fullscreen=(self),geolocation=(),magnetometer=(),mic=(),midi=(),payment=(),sync-xhr=(),usb=(),扬声器选择=()";您可能还希望在临时站点上执行此操作,并暂时不理会您的生产网站,直到您确定您的CSP已准备就绪。此命令还创建功能策略。...
web安全测试之appscan – “Content-Security-Policy”头缺失或不安全
热门推荐
Programming
06-05 1万+
web安全测试之appscan – “Content-Security-Policy”头缺失或不安全 - 猿码设计师https://www.yuanmadesign.com/ymdesign/appscan-web-testAppscan是一款安全漏洞扫描软件,由IBM公司研发,后又被卖给了印度公司HCL。在web安全测试中,今天我们说下扫描结果中包含Content-Security-Policy请求头header的缺失或不安全的时候,我们该如何应对。首先,它的严重性低。AppScan 检测到 Conten
F5 关于websocket
weixin_30332241的博客
09-07 2049
版本问题:  https://support.f5.com/csp/article/K14754 12.1.0 以后能够处理 websocket 协议,之前的版本可以使用两个vs 来区分, http 协议一个 ws 协议 一个 .。如果需要 ssl 协议 那么就配置一个 wss 的vs 。 11.4.0 版本到 12.1.0 版本可以 配置一个 fasthttp p...
bat前端面试题2019
07-31
BAT前端面试题是指腾讯(Tencent)、阿里巴巴(Alibaba)和百度(Baidu)等中国互联网巨头公司在前端开发职位面试中常问到的题目。这些面试题的目的是评估应聘者的前端技术水平和解决问题的能力。 2019年的BAT前端...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值