前端安全之csp

最新推荐文章于 2024-03-27 10:47:28 发布
VIP文章 最新推荐文章于 2024-03-27 10:47:28 发布
阅读量5.8k 收藏 10
点赞数 2
分类专栏: 前端 文章标签: 前端安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/end_start_code/article/details/90213357
版权

最近前端项目被白帽子使用appscan扫到安全漏洞,老大勒令我们抓紧修复,我们先来看两个级别比较低的漏洞

看到这儿对于我个渣渣前端来说是懵逼的,难道我设置一下http header 就ok了

  • 简单来介绍下什么叫做csp

内容安全策略   (CSP) 是一个额外的安全层,用于检测并削弱某些特定类型的攻击,包括跨站脚本 (XSS) 和数据注入攻击等。无论是数据盗取、网站内容污染还是散发恶意软件,这些攻击都是主要的手段。

CSP 被设计成完全向后兼容(除CSP2 在向后兼容有明确提及的不一致;  更多细节查看这里 章节1.1)。不支持CSP的浏览器也能与实现了CSP的服务器正常合作,反之亦然:不支持 CSP 的浏览器只会忽略它,如常运行,默认为网页内容使用标准的同源策略。如果网站不提供 CSP 头部,浏览器也使用标准的同源策略

为使CSP可用, 你需要配置你的网络服务器返回  Content-Security-Policy  HTTP头部 ( 有时你会看到一些关于X-Content-Security-Policy头部的提法, 那是旧版本,你无须再如此指定它)。---引用MDN

浏览有同源策略的安全机制,会完全信任同源策略下的js文件 但是这个js文件有可能是黑客通过某种手段提交到服务器的.用户浏览器在不知不觉的情况下就将自己的隐私发送到了黑客的服务器上

  • 如何使用csp策略
最低0.47元/天 解锁文章
摸鱼的小工
关注
  • 2
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
前端安全:如何防止CSRF攻击?
02-24
随着互联网的高速发展,信息安全问题已经成为企业最为关注的焦点之一,而前端又是引发企业安全问题的高危据点。在移动互联网时代,前端人员除了传统的XSS、CSRF等安全问题之外,又时常遭遇网络劫持、非法调用HybridAPI等新型安全问题。当然,浏览器自身也在不断在进化和发展,不断引入CSP、Same-SiteCookies等新技术来增强安全性,但是仍存在很多潜在的威胁,这需要前端技术人员不断进行“查漏补缺”。近几年,美团业务高速发展,前端随之面临很多安全挑战,因此积累了大量的实践经验。我们梳理了常见的前端安全问题以及对应的解决方案,将会做成一个系列,希望可以帮助前端同学在日常开发中不断预防和修复安
Web 安全之内容安全策略详解(Content-Security-Policy,CSP
热门推荐
乌龙茶不甜的博客
04-27 1万+
1.CSP 简介 内容安全策略(Content Security Policy,简称CSP)是一种以可信白名单作机制,来限制网站是否可以包含某些来源内容,缓解广泛的内容注入漏洞,比如 XSS。 简单来说,就是我们能够规定,我们的网站只接受我们指定的请求资源。默认配置下不允许执行内联代码(2.CSP 使用方式 CSP可以由两种方式指定: HTTP Header 和 HTML。 通过定义在HTTP header 中使用: "Content-Security-Policy:" 策略集 通过定义在 HTML me
请求报错blocked:csp
最新发布
Mr__proto__的博客
03-27 399
项目架构:electorn+react+axios。此报错是因为mate标签里写了如下代码。解决办法就是先把这段代码注释掉。代码用途是,防止跨域脚本攻击。
A CSP(Content Security Policy) issue on Web UI
Free Labor 的专栏
03-26 1200
A Content Security Policy issue
内容安全策略(CSP),防御 XSS 攻击的好助手
weixin_34146805的博客
06-06 337
什么是 CSP? 其核心思想十分简单:网站通过发送一个 CSP 头部,来告诉浏览器什么是被授权执行的与什么是需要被禁止的。 这里有一个 PHP 的例子: <?php header("Content-Security-Policy: <your directives>"); ?> 一些指令 你可以定义一些全局规则或...
jsonp突破同源策略,实现跨域访问请求
崔成龙 . 勇往直前
06-06 8123
跨域访问问题,相信大家都有遇到过。这是一个很棘手的问题。不过道高一尺,魔高一丈,对于这类问题,总有解决问题的方案。最近我又接触到了这个问题,解决的途径是ajax+jsonp。 说到这个问题,不得不说一下“同源策略(Same-Origin Policy)”,它是由Netscape提出的一个著名的安全策略。现在所有支持JavaScript 的浏览器都会使用这个策略。所谓同源,就是必须协议、域名、端口都一致的,才叫做同源。例如:http://www.12306.cn和https://www.1230
CSP内容安全策略
星落
11-06 1359
CSP内容安全策略
Web前端安全
11-07
前端安全,xss、css、跨域、csp、编码等细节。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。
前端安全系列:如何防止XSS攻击?
02-25
随着互联网的高速发展,信息安全问题已经成为企业最为关注的焦点之一,而前端又是引发企业...我们梳理了常见的前端安全问题以及对应的解决方案,将会做成一个系列,希望可以帮助前端人员在日常开发中不断预防和修复安
安全 - 内容安全策略(CSP)(未完)
weixin_30762087的博客
06-28 1176
威胁 跨站脚本攻击(Cross-site scripting) 跨站脚本攻击Cross-site scripting (XSS)是一种安全漏洞,攻击者可以利用这种漏洞在网站上注入恶意的客户端代码。 攻击者可以突破网站的访问权限,冒充受害者 以下2种情况下,容易发生XSS攻击: 从一个不可靠的链接进入到一个web应用程序。 没有过滤掉恶意代码的动态内容被发送给web用户。(可以上传动态内容得接口...
CSP浅析与绕过
dzqxwzoe的博客
01-09 1651
CSP(Content Security Policy,内容安全策略),是网页应用中常见的一种安全保护机制,它实质就是白名单制度,开发者明确告诉客户端,哪些外部资源可以加载和执行,哪些不可以。
前端安全-内容安全策略CSP(Content Security Policy)
AIWWY的博客
03-20 2829
可以通过CSP指定策略来规定页面加载的内容来源(这里的内容可以指脚本、图片、iframe、style等等可能的远程的资源)。Content-Security-Policy-Report-Only表示不会限制加载的内容,只是对加载内容不符合策略要求的进行上报,通过HTTP 请求发送到指定URI。可以把指令理解为属性,指令值理解为属性对应的值,一个属性可对应多个值,多值之间以空格分割,属性之间以分号分割。策略集由指令、空格、指令值、分号组成,不同的指令值之间以空格分割,不同指令之间以分号(
如何创建内容安全策略(CSP 标头)
allway2的博客
07-17 3870
script-src'self''unsafe-inline''unsafe-eval';add_headerPermissions-Policy"camera=(),fullscreen=(self),geolocation=(),magnetometer=(),mic=(),midi=(),payment=(),sync-xhr=(),usb=(),扬声器选择=()";您可能还希望在临时站点上执行此操作,并暂时不理会您的生产网站,直到您确定您的CSP已准备就绪。此命令还创建功能策略。...
Vue进阶(三十三)Content-Security-Policy(CSP)详解
IT全栈 华强工作室
09-05 4758
跨域脚本攻击(XSS)是最常见、危害最大的网页安全漏洞。XSS 攻击利用了浏览器对于从服务器所获取的内容的信任。恶意脚本在受害者的浏览器中得以运行,因为浏览器信任其内容来源,即使有的时候这些脚本并非来自于它本该来的地方。为了防止它,要采取很多编程措施(比如大多数人都知道的转义、过滤HTML)。很多人提出,能不能根本上解决问题,即浏览器自动禁止外部注入恶意脚本?这就是"内容安全策略"(,缩写CSP)的由来。CSP
CSP 内容安全策略, 介绍, 配置CSP策略, CSP实战绕过
探测???
11-06 2776
CSP(内容安全策略)是一种额外的安全层,可以帮助检测和减轻某些类型的攻击,如跨站脚本攻击(XSS)和数据注入攻击。CSP允许网站管理员定义哪些动态资源允许执行和加载,有助于防止恶意脚本执行以及非授权内容的加载。通过使用HTTP头部,网站可以控制用户代理如何执行页面的特定部分,这可以显著减少XSS攻击的风险。default-src:设置默认加载资源的策略(例如,自身的源、任何地方的源、或者不加载任何外部资源)。
web安全测试之appscan – “Content-Security-Policy”头缺失或不安全
Programming
06-05 1万+
web安全测试之appscan – “Content-Security-Policy”头缺失或不安全 - 猿码设计师https://www.yuanmadesign.com/ymdesign/appscan-web-testAppscan是一款安全漏洞扫描软件,由IBM公司研发,后又被卖给了印度公司HCL。在web安全测试中,今天我们说下扫描结果中包含Content-Security-Policy请求头header的缺失或不安全的时候,我们该如何应对。首先,它的严重性低。AppScan 检测到 Conten
前端安全配置之Content-Security-Policy(csp)
weixin_30326745的博客
12-23 1915
什么是CSP CSP全称Content Security Policy ,可以直接翻译为内容安全策略,说白了,就是为了页面内容安全而制定的一系列防护策略. 通过CSP所约束的的规责指定可信的内容来源(这里的内容可以指脚本、图片、iframe、fton、style等等可能的远程的资源)。通过CSP协定,让WEB处于一个安全的运行环境中。 有什么用? 我们知道前端有个很著名的”同源策略”,...
谈谈你对前端安全的理解以及在项目中如何保护前端安全
07-14
前端安全是指保护前端应用程序免受各种安全威胁和攻击的能力。前端安全性非常重要,因为前端是直接与用户交互的界面,攻击者可以通过前端漏洞来实施各种攻击,如跨站脚本攻击(XSS)、跨站请求伪造(CSRF)、点击劫持等。 以下是我对前端安全的一些理解以及在项目中保护前端安全性的一些方法: 1. 输入验证和过滤:对于用户输入的数据,进行合法性验证和过滤,防止恶意脚本注入。使用合适的输入验证库或框架来处理用户输入。 2. 防止跨站脚本攻击(XSS):对于用户输入的数据,在展示之前进行适当的转义或过滤,确保不会被解析为恶意代码。使用安全的HTML编码方式,如将特殊字符进行转义。 3. 防止跨站请求伪造(CSRF):在敏感操作中使用随机生成的令牌(CSRF Token)来验证请求的合法性。该令牌会在每次请求中携带,并进行验证。 4. HTTPS使用:使用HTTPS协议来加密前后端之间的通信,确保数据传输的安全性。 5. 安全头设置:在HTTP响应头中设置合适的安全策略,如Strict-Transport-Security(HSTS)、Content-Security-Policy(CSP)、X-Content-Type-Options、X-XSS-Protection等。 6. 防止点击劫持:使用适当的安全策略来防止点击劫持攻击,如设置X-Frame-Options头,限制页面被嵌入到其他网站的iframe中。 7. 定期更新和维护依赖库:及时更新和维护项目中使用的依赖库,以防止已知的漏洞被利用。 8. 安全培训和意识提高:对开发人员进行安全培训,提高他们对前端安全的认识和意识,以及如何编写安全前端代码。 以上只是一些常见的前端安全保护措施,具体的安全措施还需要根据具体项目的需求和情况来定制。在项目中,保护前端安全性是一个持续的过程,需要不断地关注最新的安全威胁和漏洞,并采取相应的防护措施。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值