前端安全配置之Content-Security-Policy(csp)

最新推荐文章于 2024-07-01 21:19:57 发布
最新推荐文章于 2024-07-01 21:19:57 发布
阅读量2.9k 收藏
点赞数
分类专栏: Html

From: https://www.cnblogs.com/heyuqing/p/6215761.html

什么是CSP

CSP全称Content Security Policy ,可以直接翻译为内容安全策略,说白了,就是为了页面内容安全而制定的一系列防护策略. 通过CSP所约束的的规责指定可信的内容来源(这里的内容可以指脚本、图片、iframe、fton、style等等可能的远程的资源)。通过CSP协定,让WEB处于一个安全的运行环境中。

有什么用?

我们知道前端有个很著名的”同源策略”,简而言之,就是说一个页面的资源只能从与之同源的服务器获取,而不允许跨域获取.这样可以避免页面被注入恶意代码,影响安全.但是这个策略是个双刃剑,挡住恶意代码的同时也限制了前端的灵活性,那有没有一种方法既可以让我们可以跨域获取资源,又能防止恶意代码呢?

答案是当然有了,这就是csp,通过csp我们可以制定一系列的策略,从而只允许我们页面向我们允许的域名发起跨域请求,而不符合我们策略的恶意攻击则被挡在门外.从而实现

需要说明的一点是,目前主流的浏览器都已支持csp.所以我们可以放心大胆的用了.

指令说明

指令就是csp中用来定义策略的基本单位,我们可以使用单个或者多个指令来组合作用,功能防护我们的网站.

以下是常用的指令说明:

指令名

demo

说明

default-src

'self' cdn.example.com

默认策略,可以应用于js文件/图片/css/ajax请求等所有访问

script-src

'self' js.example.com

定义js文件的过滤策略

style-src

'self' css.example.com

定义css文件的过滤策略

img-src

'self' img.example.com

定义图片文件的过滤策略

connect-src

'self'

定义请求连接文件的过滤策略

font-src

font.example.com

定义字体文件的过滤策略

object-src

'self'

定义页面插件的过滤策略,如 <object>, <embed> 或者<applet>等元素

media-src

media.example.com

定义媒体的过滤策略,如 HTML6的 <audio>, <video>等元素

frame-src

'self'

定义加载子frmae的策略

sandbox

allow-forms allow-scripts

沙盒模式,会阻止页面弹窗/js执行等,你可以通过添加allow-forms allow-same-origin allow-scripts allow-popups, allow-modals, allow-orientation-lock, allow-pointer-lock, allow-presentation, allow-popups-to-escape-sandbox, and allow-top-navigation 策略来放开相应的操作

report-uri

/some-report-uri

 

 

指令值

所有以-src结尾的指令都可以用一下的值来定义过滤规则,多个规则之间可以用空格来隔开

demo

说明

*

img-src *

允许任意地址的url,但是不包括 blob: filesystem: schemes.

'none'

object-src 'none'

所有地址的咨询都不允许加载

'self'

script-src 'self'

同源策略,即允许同域名同端口下,同协议下的请求

data:

img-src 'self' data:

允许通过data来请求咨询 (比如用Base64 编码过的图片).

domain.example.com

img-src domain.example.com

允许特性的域名请求资源

*.example.com

img-src *.example.com

允许从 example.com下的任意子域名加载资源

https://cdn.com

img-src https://cdn.com

仅仅允许通过https协议来从指定域名下加载资源

https:

img-src https:

只允许通过https协议加载资源

'unsafe-inline'

script-src 'unsafe-inline'

允许行内代码执行

'unsafe-eval'

script-src 'unsafe-eval'

允许不安全的动态代码执行,比如 JavaScript的 eval()方法

 

示例

default-src 'self';   

只允许同源下的资源

 

script-src 'self';     

只允许同源下的js

 

script-src 'self' www.google-analytics.com ajax.googleapis.com;

允许同源以及两个地址下的js加载

 

default-src 'none'; script-src 'self'; connect-src 'self'; img-src 'self'; style-src 'self';

多个资源时,后面的会覆盖前面的

 

服务器端配置

  • Apache服务

在VirtualHost的httpd.conf文件或者.htaccess文件中加入以下代码

Header set Content-Security-Policy "default-src 'self';"

  • Nginx

在 server {}对象块中添加如下代码

add_header Content-Security-Policy "default-src 'self';";

  • IIS 

web.config:中添加

<system.webServer>

  <httpProtocol>

    <customHeaders>

      <add name="Content-Security-Policy" value="default-src 'self';" />

    </customHeaders>

  </httpProtocol>

</system.webServer>

 

参考链接:

https://www.zhihu.com/question/21979782

https://content-security-policy.com/

JoeBlackzqq
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
content-security-policy.com:content-security-policy.com网站的源代码
04-27
总之,`content-security-policy.com`网站的源代码是一份宝贵的教育资源,可以帮助开发者更好地理解和应用Content Security Policy,从而提高Web应用的安全性。通过深入学习和分析,我们可以掌握如何有效地保护我们...
Content Security Policy
huxyc的博客
10-28 1741
Content Security Policy(内容安全策略,简称csp)用于检测并阻止网页加载非法资源的安全策略,可以减轻xss攻击带来的危害和数据注入等攻击。本文讲述的内容主要有如何使用csp和业务接入csp流程这两部分。简介csp主要工作是定义一套页面资源加载白名单规则,浏览器使用csp规则去匹配所有资源,禁止加载不符合规则的资源,同时将非法资源请求进行上报。csp作用:减轻网页被xss攻击后所受到的危害。
nginx配置相关策略Content-Security-Policy、Referrer-policy
热门推荐
m0_46803792的博客
02-14 1万+
nginx配置相关策略Content-Security-Policy、Referrer-policy
漏洞修复:检测到目标Content-Security-Policy响应头缺失
最新发布
yjfkeifk的博客
07-01 596
对于 IIS,请参阅:https://technet.microsoft.com/pl-pl/library/cc753133%28v=ws.10%29.aspx。对于 nginx,请参阅:http://nginx.org/en/docs/http/ngx_http_headers_module.html。对于 Apache,请参阅:http://httpd.apache.org/docs/2.2/mod/mod_headers.html。名称:Content-Security-Policy
如何创建内容安全策略(CSP 标头)
allway2的博客
07-17 4121
script-src'self''unsafe-inline''unsafe-eval';add_headerPermissions-Policy"camera=(),fullscreen=(self),geolocation=(),magnetometer=(),mic=(),midi=(),payment=(),sync-xhr=(),usb=(),扬声器选择=()";您可能还希望在临时站点上执行此操作,并暂时不理会您的生产网站,直到您确定您的CSP已准备就绪。此命令还创建功能策略。...
Nginx反向代理
weixin_43876402的博客
04-22 3865
Nginx反向+静态文件失效
安全头响应头(一)Content-Security-Policy
wzj_110的博客
04-17 3832
default-src指令。
前端安全-内容安全策略CSPContent Security Policy
AIWWY的博客
03-20 2983
可以通过CSP指定策略来规定页面加载的内容来源(这里的内容可以指脚本、图片、iframe、style等等可能的远程的资源)。Content-Security-Policy-Report-Only表示不会限制加载的内容,只是对加载内容不符合策略要求的进行上报,通过HTTP 请求发送到指定URI。可以把指令理解为属性,指令值理解为属性对应的值,一个属性可对应多个值,多值之间以空格分割,属性之间以分号分割。策略集由指令、空格、指令值、分号组成,不同的指令值之间以空格分割,不同指令之间以分号(
Content-Security-Policy.md
06-05
如何设置meta 标签防止XSS攻击,以及CSP的一些说明, CSP 大大增强了网页的安全性。攻击者即使发现了漏洞,也没法注入脚本,除非还控制了一台列入了白名单...一种是通过 HTTP 头信息的`Content-Security-Policy`的字段。
koa-csp:用于设置响应头:Content-Security-Policy
02-03
这是Koa2中间件,用于设置响应标头Content-Security-Policy 安装 npm install koa-csp yarn add koa-csp 用法 import Koa from 'koa' ; import csp from 'koa-csp' ; const app = new Koa ( ) ; app . use ( csp ( ...
ContentSecurityPolicyFilter:一个可配置的Java Servlet过滤器,将“ Content-Security-Policy”标头添加到ServletResponse
05-02
将“ Content-Security-Policy”或“ Content-Security-Policy-Report-Only”标头添加到响应中。 另请参阅: 通常,您只需要有限的数目,也不需要任何init参数。 如果未定义init参数,则Header将如下所示: ...
Disable-Content-Security-Policy_v1.0.6.zip
11-12
内容安全策略(Content Security Policy, 简称CSP)是一种用于增强网站安全性的机制,它可以帮助防止跨站脚本攻击(XSS)和其他潜在的安全威胁。Chrome浏览器中的Disable-Content-Security-Policy_v1.0.6插件是专为...
安全头响应头(一)Content-Security-Policy_add_header content-security-policy
QAZZHONGYI的博客
04-06 1604
还有兄弟不知道网络安全面试可以提前刷题吗?费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!王岚嵚工程师面试题(附答案),只能帮兄弟们到这儿了!如果你能答对70%,找一个安全工作,问题不大。对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!【完整版领取方式在文末!!
Nginx配置Http响应头安全策略_nginx content-security-policy(2)
m0_58269520的博客
04-08 1733
http {http {注意:在生产环境中,建议启用 upgrade-insecure-requests 指令,以防止潜在的安全风险。
Vue进阶(三十三)Content-Security-PolicyCSP)详解
IT全栈 华强工作室
09-05 6890
跨域脚本攻击(XSS)是最常见、危害最大的网页安全漏洞。XSS 攻击利用了浏览器对于从服务器所获取的内容的信任。恶意脚本在受害者的浏览器中得以运行,因为浏览器信任其内容来源,即使有的时候这些脚本并非来自于它本该来的地方。为了防止它,要采取很多编程措施(比如大多数人都知道的转义、过滤HTML)。很多人提出,能不能根本上解决问题,即浏览器自动禁止外部注入恶意脚本?这就是"内容安全策略"(,缩写CSP)的由来。CSP
常见的前端安全CSRF/XSS以及常规安全策略
小草莓的博客
07-14 1817
5、前端的常规安全策略 ① 定期请第三方机构做安全性测试和漏洞扫描 ② code review 保证代码质量 ③ 默认项目中设置对应的 Header 请求头,如 X-XSS-Protection、 X-Content-Type-Options 、X-Frame-Options Header、Content-Security-Policy 等等 ④ 尽量不用v-html、在有输入框的地方要对输入做拦截和校验等
前端安全问题以及解决方案汇总
qq_40334370的博客
12-08 1502
前端常见的7个安全方面问题:1.iframe2.opener3.CSRF(跨站请求伪造)4.XSS(跨站脚本攻击)5.ClickJacking(点击劫持)6.HSTS(HTTP严格传输安全)7.CND劫持。
Nginx 解决内容安全策略CSPContent-Security-Policy配置方式
ideal-lingyun
09-24 4098
Nginx 解决内容安全策略CSPContent-Security-Policy配置方式
使用flask+js 解决“Content-Security-Policy”头缺失 问题
01-13
使用Flask和JavaScript解决"Content-Security-Policy"头缺失问题的方法如下: 1. 在Flask应用程序中设置"Content-Security-Policy"头。可以通过在应用程序的路由函数中使用`@app.after_request`装饰器来设置响应头。示例代码如下: ```python from flask import Flask, make_response app = Flask(__name__) @app.after_request def add_csp_header(response): response.headers['Content-Security-Policy'] = "default-src 'self'" return response ``` 上述代码将在每个响应中添加"Content-Security-Policy"头,并将其值设置为"default-src 'self'",表示只允许加载来自同一域名的资源。 2. 在JavaScript中处理跨域请求。如果你的JavaScript代码需要从不同的域名加载资源,可能会遇到"Access-Control-Allow-Origin"错误。为了解决这个问题,可以在服务器端设置响应头,允许来自其他域名的请求。示例代码如下: ```python from flask import Flask, make_response app = Flask(__name__) @app.after_request def add_cors_header(response): response.headers['Access-Control-Allow-Origin'] = '*' return response ``` 上述代码将在每个响应中添加"Access-Control-Allow-Origin"头,并将其值设置为"*",表示允许来自任何域名的请求。 3. 在前端页面中引入JavaScript文件。在HTML文件中,使用`<script>`标签引入JavaScript文件,并确保该文件位于与HTML文件相同的域名下。示例代码如下: ```html <!DOCTYPE html> <html> <head> <title>Flask + JavaScript</title> <script src="static/js/script.js"></script> </head> <body> <!-- 页面内容 --> </body> </html> ``` 上述代码将在页面中引入名为"script.js"的JavaScript文件,该文件位于"static/js/"目录下。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值