内容安全策略CSP--Content-Security-Policy

于 2024-05-02 23:49:08 发布
阅读量255 收藏 3
点赞数 3
文章标签: 学习
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/banliyaoguai/article/details/138402546
版权

CSP定义

Content Security Policy(CSP)是一种Web安全机制,用于帮助防范和减轻特定类型的攻击,包括跨站脚本攻击和sql注入等

它通过允许网站管理员定义和实施一系列安全策略,限制页面加载和执行的内容来源,以减少潜在的安全风险。CSP的实质是白名单制度,开发者明确告诉浏览器哪些外部资源可以加载和执行,可以从哪些url加载资源。它的实现和执行全部由浏览器完成,开发者只需提供配置。CSP是一个额外的安全层,用于检测并削弱某些特定类型的攻击,使WEB处于一个安全的运行环境中。

CSP如何使用

编写CSP策略

常见指令

default-src:定义默认的内容来源。

script-src:指定允许加载和执行JavaScript代码的来源。

style-src:指定允许加载和应用CSS样式表的来源。

img-src:指定允许加载图像的来源。

font-src:指定允许加载字体的来源。

connect-src:指定允许进行网络请求的来源。

frame-src:指定允许加载内嵌框架(如iframe)的来源。

media-src:指定允许加载媒体资源(如音频和视频)的来源。
例子

灭有具体规定只希望从网站自身加载资源,只希望允许从网站自身和指定网站加载脚本和样式表,并允许从任何来源加载图片

default-src 'self'; script-src 'self'; style-src 'self' 网址; img-src *;

设置CSP策略

HTML<meta>标签中设置

通过在HTML的<meta>标签中设置,但这通常不是首选方法,因为HTTP头中的策略会覆盖<meta>标签中的策略

在HTTP响应头中设置Content-Security-Policy字段

这通常是通过服务器配置来完成的,具体取决于你使用的服务器软件(如Apache、Nginx、IIS等)。在你的 Nginx 配置文件中,使用 add_header 指令来设置 CSP:

例子
add_header Content-Security-Policy "default-src 'self'; script-src 'self'; style-src 'self' 网址; img-src *;"

不嫌弃的点点关注,点点赞 ଘ(੭ˊᵕˋ)੭* ੈ✩‧

板栗妖怪
关注
  • 3
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
Nginx配置Http响应头安全策略_nginx content-security-policy
2401_84181383的博客
04-10 1638
是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!**
HTML5安全介绍之内容安全策略(CSP)简介
01-19
万维网的安全策略植根于同源策略。...每个来源都与网络的其它部分分隔开,为开发人员构建了一个... 现在我们介绍一个全新的、有效的安全防御策略来减轻这种风险,这就是内容安全策略(ContentSecurity Policy,CSP)。
Content Security Policy设置
阳光
06-06 4915
Content Security Policy (CSP) 是一种加固 Web 应用的安全性的技术,通过在网站页面中设置 CSP Header 来限制页面中能够执行的脚本、样式、图片等资源。其中 script-src 只允许本网站和 example.com 的脚本加载,img-src 只允许本网站和 data: URI 的图片加载,style-src 只允许本网站和内联样式加载,font-src 只允许本网站和 example.com 的字体加载。请根据实际情况进行调整。
nginx转发https网页加载http图片乱码问题
艾瑞-Arin
03-08 3141
原因一: 在一个https的网站中,如果加载了http图片资源,浏览器将认为这是不安全的图片资源,将会默认阻止,导致图片是不加载的,同样的css资源、js资源也是一样不加载的。 解决方案: 网页使用https情况下需要全站代码都支持https://。 如果网站存在图片、js、css、mp4、mp3等任何外来的http数据网页会提示不安全。 将外联或本地源码都改成https,外联资源不支持https的下载到本地网页调用。 原因二:X-Content-Type-Options 互联网上的资源有各种类型,通.
内容安全策略 Content-Security-Policy
热门推荐
qq_30436011的博客
10-24 3万+
1、限制资源获取:限制网页当中一系列的资源获取的情况,从哪里获取,请求发到哪个地方限制方式:default-src限制全局的和链接有关的作用范围根据资源类型(connect-src、img-src等),限制资源范围2、报告资源获取越权:在网页当中获取了一些我们不应该获取的资源的时候,给服务进行报告,报告资源获取越权,然后做出调整之所以报这个错误,就是我们加了这个头的作用。这个时候 inline脚本还是不能执行的。如果引入外链的脚本文件,则会报错,这样就可限制,只能使用我们本站使用的脚本。
Web安全之Content Security Policy(CSP 内容安全策略)详解
路多辛的所思所想
04-12 5939
Content-Security-Policy值由一个或多个指令组成,多个指令用分号分隔。script-src:外部脚本style-src:样式文件img-src:图片文件media-src:媒体文件(音频和视频)font-src:字体文件object-src:插件(比如 Flash)child-src:框架frame-ancestors:嵌入的外部资源(比如、、和)
Content-Security-Policy —— HTML HTTP的内容安全策略
2401_83817439的博客
03-29 792
这里我的建议是,如果你至少使用或掌握其中一门框架,那是最好的,可以去刷刷相关框架的面试题,这样在面试过程中即使被问到了,也可以回答个 7788。这里我的建议是,如果你至少使用或掌握其中一门框架,那是最好的,可以去刷刷相关框架的面试题,这样在面试过程中即使被问到了,也可以回答个 7788。这些框架的知识,这里得说一说,大公司不会过度的关注这方面框架的知识,他们往往更加考察学生的基础。这些框架的知识,这里得说一说,大公司不会过度的关注这方面框架的知识,他们往往更加考察学生的基础。对于其它指令,用户代理查找。
Disable Content-Security-Policy-crx插件
04-02
禁用Web应用程序测试的内容安全策略。 当图标彩色时,CSP标题被禁用。 以您自己的风险使用。 这会禁用选项卡的内容安全策略标题。 在测试新的第三方标记包含在页面上的资源时使用此功能。 单击扩展图标以禁用选项卡...
go-csp-collector:用Golang编写的CSP收集器
05-19
这是用Golang编写的内容安全策略违规收集器。 它被设计为侦听端口8080并接受包含违规报告的POST负载。 它捕获报告并通过Go的记录器将其写入STDOUT。 该工具的一个小巧的功能是它会自动忽略无法操作的报告。 如果有...
csp-builder:从JSON文件构建Content-Security-Policy标头(或以编程方式构建标头)
02-03
内容安全策略构建器 从JSON配置文件或以编程方式轻松地将Content-Security-Policy标头集成到您的Web应用程序中。 CSP Builder由创建,是我们鼓励更好的实践的工作的一部分。 也请查看我们的其他。 还有一个使用此库...
Always Disable Content-Security-Policy-crx插件
04-02
禁用当前页面的内容安全策略。 测试新的第三方标签在页面上包含哪些资源时很有用。 单击扩展程序图标以重新启用CSP标头。 再次单击扩展图标以禁用CSP标头。 仅将此作为最后的手段。 禁用CSP意味着禁用旨在保护您免受...
http Content Security Policy内容安全策略
focus on security
08-24 526
默认情况下,使用WebExtension API开发的扩展具有内容安全策略(CSP)。这限制了它们可以从中加载<script>和<object>资源的源,并禁止了诸如之类的潜在不安全做法。eval() 本文简要介绍了什么是CSP,默认策略是什么以及对扩展的含义以及扩展如何更改默认CSP。 内容安全策略(CSP)是一种有助于防止网站无意间执行恶意内容的机制。网站使用从服务器发送的HTTP标头指定CSP。CSP最关心的是指定各种内容的合法来源,例如脚本或嵌入式插件。例如,网站可..
Vue进阶(三十三)Content-Security-Policy(CSP)详解
IT全栈 华强工作室
09-05 5985
跨域脚本攻击(XSS)是最常见、危害最大的网页安全漏洞。XSS 攻击利用了浏览器对于从服务器所获取的内容的信任。恶意脚本在受害者的浏览器中得以运行,因为浏览器信任其内容来源,即使有的时候这些脚本并非来自于它本该来的地方。为了防止它,要采取很多编程措施(比如大多数人都知道的转义、过滤HTML)。很多人提出,能不能根本上解决问题,即浏览器自动禁止外部注入恶意脚本?这就是"内容安全策略"(,缩写CSP)的由来。CSP。
Nginx配置Http响应头安全策略
RisunJan的博客
10-22 1万+
1. 防止跨站脚本攻击(XSS):通过设置`CSP(Content-Security-Policy)`,可以限制浏览器只加载和执行来自特定来源的脚本,从而防止恶意脚本注入和执行。 2. 防止点击劫持攻击:通过设置`X-Frame-Options`响应头,可以防止网页被嵌入到其他网站的`iframe`中,避免用户在不知情的情况下触发恶意代码。 3. 提高网站安全性:通过设置`STS(Strict-Transport-Security)`响应头,强制浏览器使用`HTTPS协议`与服务器通信,从而防止信息在传输过
关于HTTP中的CSP(Content-Security-Policy)内容安全策略
Wang的专栏
03-08 4564
关于HTTP中的CSP 在HTTP协议中为了使我们的网站足够的安全,经常要用到CSP(Content-Security-Policy)内容安全策略 CSP的作用 限制网站中资源的获取,以及请求发送到哪里 报告资源获取越权 CSP的限制方式 default-src限制全局和链接请求有关的东西 指定资源类型 connect-src manifest-src img-src font-src media-src style-src frame-src script-src 网页上和链接有关的…
nginx配置相关策略Content-Security-Policy、Referrer-policy
m0_46803792的博客
02-14 1万+
nginx配置相关策略Content-Security-Policy、Referrer-policy
前端设置Content-Security-Policy
petterDong的博客
06-05 2万+
Content-Security-Policy 1.什么是 Content-Security-Policy? 首先W3C的官方解释链接 Content-Security-Policy MDN的链接配置 Content-Security-Policy 简单来说: 跨域脚本攻击 XSS 是最常见、危害最大的网页安全漏洞。为了防止它们,浏览器自动禁止外部注入恶意脚本. CSP 的实质就是白名单制度,开发者明确告诉客户端,**哪些外部资源可以加载和执行,**等同于提供白名单。它的实现和执行全部由浏览器完成,开发者只
CSP(Content Security Policy)策略---内容安全策略
weixin_43502666的博客
03-12 311
【代码】CSP(Content Security Policy)策略---内容安全策略
浏览器设置策略Content-Security-Policy
最新发布
06-20
Content-Security-Policy (CSP) 是一种HTTP头部字段,用于帮助Web应用增强安全性,控制网页内容如何加载和执行。CSP允许开发者定义一系列规则,限制浏览器加载资源的来源、类型以及执行的脚本和样式等行为。这有助于防止跨站脚本攻击(XSS)、恶意代码注入、数据泄露等问题。 设置CSP主要包括以下几个关键点: 1. **基本策略**: 使用`content-security-policy`头部字段声明,例如: ``` Content-Security-Policy: default-src 'self'; ``` 这表示只允许从当前源加载内容。 2. **源策略**: `default-src`可以指定一组或单独的源,如: ``` default-src 'self' https: data:; ``` 这里指定了除了'self'之外还允许https和data:协议的资源加载。 3. **资源类型**: 可以使用`script-src`, `style-src`, `img-src`, `frame-src`等指令分别控制不同类型的资源加载来源。 4. **允许特定资源**: `connect-src`控制连接请求(如WebSocket),`font-src`控制字体资源,`media-src`控制媒体资源等。 5. **执行策略**: `script-src-elem`和`script-nonce`用于处理内联脚本,`child-src`管理嵌套框架。 6. **报告策略**: `report-uri`指定当违反策略时发送报告的URL,以便开发者收集安全事件信息。 7. **沙箱模式**: 使用`sandbox`属性或`sandbox`-related directives如`allow-scripts`、`allow-top-navigation`等进一步限制页面行为。 为了确保CSP的有效性,需要在服务器端配置并始终发送这个头部信息给客户端。同时,开发人员也需要遵循CSP策略来编写代码,避免潜在的安全风险。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值