内容安全策略(CSP)_防御 XSS 攻击的好助手

最新推荐文章于 2024-04-28 17:12:49 发布
最新推荐文章于 2024-04-28 17:12:49 发布
阅读量323 收藏
点赞数
文章标签: php 网络 javascript ViewUI
原文链接:https://my.oschina.net/u/3471671/blog/919363
版权

阅读全文

 

什么是 CSP?

其核心思想十分简单:网站通过发送一个 CSP 头部,来告诉浏览器什么是被授权执行的与什么是需要被禁止的。

这里有一个 PHP 的例子:

 
  1. <?php
  2. header("Content-Security-Policy: <your directives>");
  3. ?>
一些指令

你可以定义一些全局规则或者定义一些涉及某一类资源的规则:

 
  1. default-src 'self' ;
  2. # self = 同端口,同域名,同协议 => 允许

基础参数是 default-src:如果没有为某一类资源设置指令规则,那么浏览器就会使用这个默认参数值。

 
  1. script-src 'self' www.google-analytics.com ;
  2. # 来自这些域名的 JS 文件 => 允许

在这个例子中,我们已经授权了 www.google-analytics.com 这个域名来源的 JavaScript 文件使用到我们的网站上。我们也添加了 'self' 这个关键词;如果我们通过 script-src 来重新设置其它的规则指令,它将会覆盖 default-src 规则。

如果没有指明协议(scheme)或端口,它就会强制选择与当前页面相同的协议或端口。这样做防止了混合内容(LCTT 译注:混合内容指 HTTPS 页面中也有非 HTTPS 资源,可参见: https://developer.mozilla.org/zh-CN/docs/Security/MixedContent )。如果页面是 https://example.com,那么你将无法加载 http://www.google-analytics.com/file.js 因为它已经被禁止了(协议不匹配)。然而,有一个例外就是协议的提升是被允许的。如果 http://example.com 尝试加载 https://www.google-analytics.com/file.js,接着协议或端口允许被更改以便协议的提升。

 
  1. style-src 'self' data: ;
  2. # Data-Uri 嵌入 CSS => 允许

在这个例子中,关键词 data: 授权了在 CSS 文件中 data 内嵌内容。

在 CSP 1 规范下,你也可以设置如下规则:

  • img-src 有效的图片来源
  • connect-src 应用于 XMLHttpRequest(AJAX),WebSocket 或 EventSource
  • font-src 有效的字体来源
  • object-src 有效的插件来源(例如,<object><embed><applet>
  • media-src 有效的 <audio> 和 <video> 来源

CSP 2 规范包含了如下规则:

  • child-src 有效的 web workers 和 元素来源,如 <frame> 和 <iframe> (这个指令用来替代 CSP 1 中废弃了的 frame-src 指令)
  • form-action 可以作为 HTML <form> 的 action 的有效来源
  • frame-ancestors 使用 <frame><iframe><object><embed> 或 <applet> 内嵌资源的有效来源
  • upgrade-insecure-requests 命令用户代理来重写 URL 协议,将 HTTP 改到 HTTPS (为一些需要重写大量陈旧 URL 的网站提供了方便)。

为了更好的向后兼容一些废弃的属性,你可以简单的复制当前指令的内容同时为那个废弃的指令创建一个相同的副本。例如,你可以复制 child-src 的内容同时在 frame-src 中添加一份相同的副本。

CSP 2 允许你添加路径到白名单中(CSP 1 只允许域名被添加到白名单中)。因此,相较于将整个 www.foo.com 域添加到白名单,你可以通过添加 www.foo.com/some/folder 这样的路径到白名单中来作更多的限制。这个需要浏览器中 CSP 2 的支持,但它很明显更安全。

一个例子

我为 Web 2015 巴黎大会上我的演讲 “CSP in Action”制作了一个简单的例子。

在没有 CSP 的情况下,页面展示如下图所示:

不是十分优美。要是我们启用了如下的 CSP 指令又会怎样呢?

 
  1. <?php
  2. header("Content-Security-Policy:
  3. default-src 'self' ;
  4. script-src 'self' www.google-analytics.com stats.g.doubleclick.net ;
  5. style-src 'self' data: ;
  6. img-src 'self' www.google-analytics.com stats.g.doubleclick.net data: ;
  7. frame-src 'self' ;");
  8. ?>

浏览器将会作什么呢?它会(非常严格的)在 CSP 基础规则之下应用这些指令,这意味着任何没有在 CSP 指令中被授权允许的都将会被禁止(“blocked” 指的是不被执行、不被显示并且不被使用在网站中)。

 

阅读全文

转载于:https://my.oschina.net/u/3471671/blog/919363

chuhan3075
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
HTML5安全介绍之内容安全策略CSP)简介
01-19
万维网的安全策略植根于同源策略。...每个来源都与网络的其它部分分隔开,为开发人员构建了一个... 现在我们介绍一个全新的、有效的安全防御策略来减轻这种风险,这就是内容安全策略(ContentSecurity Policy,CSP)。
Angular安全专辑之一 —— CSP防止XSS攻击
A_991128a的博客
02-19 1528
第一种是报网络安全专业,现在叫网络空间安全专业,主要专业课程:程序设计、计算机组成原理原理、数据结构、操作系统原理、数据库系统、 计算机网络、人工智能、自然语言处理、社会计算、网络安全法律法规、网络安全、内容安全、数字取证、机器学习,多媒体技术,信息检索、舆情分析等。第二种是自学,就是在网上找资源、找教程,或者是想办法认识一-些大佬,抱紧大腿,不过这种方法很耗时间,而且学习没有规划,可能很长一段时间感觉自己没有进步,容易劝退。即便是被恶意注入了脚本,因为脚本并不在白名单中,因此不会执行。
XSS防御CSP原理学习
weixin_44843084的博客
05-18 1318
XSS防御CSP原理学习 CSP(Content Security Policy)指的是内容安全策略,为了缓解很大一部分潜在的跨站脚本问题,浏览器的扩展程序系统引入了内容安全策略CSP)的一般概念。这将引入一些相当严格的策略,会使扩展程序在默认情况下更加安全,开发者可以创建并强制应用一些规则,管理网站允许加载的内容CSP 本质上是建立白名单,规定了浏览器只能够执行特定来源的代码;即使发生了xss攻击,也不会加载来源不明的第三方脚本。 在网页中,CSP可以通过 HTTP 头信息或者 meta 元素定义
请求报错blocked:csp
Mr__proto__的博客
03-27 386
项目架构:electorn+react+axios。此报错是因为mate标签里写了如下代码。解决办法就是先把这段代码注释掉。代码用途是,防止跨域脚本攻击
XSS防护策略及轮子
supertor的博客
02-26 969
轮子 国人(支持node) https://github.com/leizongmin/js-xss/blob/master/README.zh.md 外国(仅限DOM-xss) https://github.com/cure53/DOMPurify XSS攻击类型 存储型 XSS 存储型 XSS攻击步骤: 1.攻击者将恶意代码提交到目标网站的数据库中。 2.用户打开目标网站时,网站服务端将...
内容安全策略CSP)_防御_XSS_攻击好助手
Gamay的博客
06-08 545
什么是 CSP? 其核心思想十分简单:网站通过发送一个 CSP 头部,来告诉浏览器什么是被授权执行的与什么是需要被禁止的。 这里有一个 PHP 的例子: <?php header("Content-Security-Policy: <your directives>"); ?> 一些指令 你可以定义一些全局规则或者定义一些涉及某一类资源的规则: default-src 'self' ; # self = 同端口,同域名,同协议 => 允许 基础参数是 default-src:如果没有为某一类资源设置指令规则
ASP.NET Core中如何利用Csp标头对抗Xss攻击
01-01
内容安全策略CSP)是一个增加的安全层,可帮助检测和缓解某些类型的攻击,包括跨站点脚本(XSS)和数据注入攻击。这些攻击用于从数据窃取到站点破坏或恶意软件分发的所有内容(深入CSP) 简而言之,CSP是网页控制...
前端安全系列:如何防止XSS攻击
01-27
XSS、CSRF等安全问题之外,又时常遭遇网络劫持、非法调用HybridAPI等新型安全问题。当然,浏览器自身也在不断在进化和发展,不断引入 CSP、Same-SiteCookies等新技术来增强安全性,但是仍存在很多潜
TCP相关问题总结
qq_62835094的博客
04-23 1212
假设TCP是两次握手,则可能会发生以下情况客户端发起TCP握手,向服务器发送SYN,但该数据因网络波动滞留此时触发超时重传,重新简历TCP连接当新建立的连接断开后,之前在网络中滞留的SYN连接请求传递到服务端,服务端误以为客户端需要建立TCP连接,因此会发送SYN+ACK请求,并进入连接建立状态,但客户端并不需要建立连接,不会发送数据,因此会造成服务端资源的浪费三次握手可以防止客户端无效连接信息再次到达服务器,导致重新连接之所以需要四次挥手,因为半关闭tcp通道允许双方互相发送数据,数据是双向流动的。
Android配置环境
u012627628的博客
04-24 345
执行命令:sudo mv /home/用户名/Downloads/android-sdk-linux /usr/java。sudo mv /home/用户名/Downloads/jdk1.8.0_271 /usr/java。执行命令:/usr/java/android-sdk-linux/tools/android。执行命令:tar -zxvf android-sdk-linux.tgz。执行 source /etc/profile。验证是否安装成功(我验证是成功的)执行:java -version。
2024 XYCTF Web 方向 wp 全解
qq_39947980的博客
04-27 947
XYCTF 2024 Web 方向全解
PHP】sign加签方法示例
q8688的博客
04-25 394
【代码】【PHP】sign加签方法示例。
bugku ezbypass
m_de_g的博客
04-23 269
bugku ezbypass $++,$_++
JetBrains PhpStorm v2024.1 安装教程 (PHP集成开发IDE)
wyqshusan的博客
04-23 613
PhpStorm是由JetBrains推出的一款轻量级集成开发环境,专为PHP开发者而设计。该软件融合了智能的HTML/CSS/JavaScript/PHP编辑器、代码质量分析工具、版本控制系统集成(包括SVN和GIT)、调试和测试等功能。除此之外,PhpStorm还提供了诸如代码自动完成、语法高亮、实时导航、实时错误检查和代码重构等实用功能。在新版本中,PhpStorm引入了许多新功能,并对现有功能进行了优化和调整。其中包括新增了死代码检测功能,可以帮助检测出冗余代码,并突出显示之前可能未被使用过的类、
网络之路29:三层链路聚合
衡水铁头哥的博客
04-28 474
正文共:1666 字 17 图,预估阅读时间:3 分钟目录网络之路第一章:Windows系统中的网络0、序言 1、Windows系统中的网络 1.1、桌面中的网卡 1.2、命令行中的网卡 1.3、路由表 1.4、家用路由器网络之路第二章:认识企业设备2、认识企业设备 2.1、MSR810-W外观 2.2、登录MSR810-W管理页面 2.3、快速设置上网 2.4、WLAN配置 2...
WordPress自动采集发布AutoPostPro汉化版插件
pengqingwen的博客
04-23 286
WP-AutoPostPro 是一款极为出色的WordPress自动采集发布插件,其显著优势在于能够从任何网站抓取内容并自动将其发布到你的WordPress网站上。它实现了对任何网页内容的自动采集和发布,整个采集过程完全自动化,无需手动操作。此外,它还提供了一系列实用功能,如内容筛选、HTML标签过滤、关键词替换、自动添加链接、自动生成标签、自动将远程图片保存到本地服务器、自动为文章添加前缀和后缀,以及使用微软翻译引擎将采集到的文章自动翻译成多种语言进行发布。
模型部署的艺术:让深度学习模型跃入生产现实
凡江林的博客
04-23 898
将一个深度学习模型从实验室带到最终用户手中的过程,可以看作是一次长途旅行。旅途开始于模型的训练,这是为旅行准备必需的知识和能力。随后,模型需要经过多轮的打包与优化,就像打包行李一样,既不能带得太多以至于负担沉重,也不能遗漏关键物品。接着,选择合适的部署环境,就如同选择旅行的目的地,可能是云环境,也可能是边缘设备。在这个过程中,模型会经历各种测试和优化,以确保它能够高效运行,并能够适应环境的变化。
Linxu系统服务管理,systemd知识/进程优先级/平均负载/php进程CPU100%怎么解决系列知识!
最新发布
2302_78067597的博客
04-28 766
进程执行时候是排队执行的,需要插队,要调整。进程重要性高,需要优先多分配CPU。调整优先级。#记住用途nice: 调整【程序运行时】的优先级 renice:调整【运行中的进程】的优先级区别:nice命令常用于修改未运行的程序再运行时的优先级,但是对于正在运行的进程,若想要修改优先级,就需要用到renice命令。衡量系统繁忙的一个综合性指标,主要是cpu/io的繁忙程度;在工作中非常常用。工作中非常的常用,具体是哪一个指标繁忙ps,top,sar看cpu。
内容安全策略CSP),防御 XSS 攻击好助手
06-08
是的,您说得对。内容安全策略CSP)是一种安全机制,可以减少和防止跨站脚本攻击XSS)的发生。CSP 允许网站管理员指定浏览器只从特定来源加载资源,防止恶意脚本被加载并执行。此外,CSP 还可以限制页面中可以执行的代码类型和来源,从而进一步减少安全漏洞。因此,CSP防御 XSS 攻击好助手

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值