内容安全策略 ( CSP )

最新推荐文章于 2024-08-08 16:55:45 发布
最新推荐文章于 2024-08-08 16:55:45 发布
阅读量824 收藏
点赞数
文章标签: java linux 安全 javascript css
原文链接:https://mp.weixin.qq.com/s?__biz=MzI2ODY0ODM2Ng==&mid=2247489715&idx=1&sn=fb017bc0ad975e455d2aa736d78c5923&chksm=eaed3272dd9abb64f57934f4a1c328a376891a78f3a0dd6ca6e0aad3280873c8c434ee0d0f8a&scene=126&&sessionid=0
版权

53cc6b114e64791b10f700afb35e8189.png

内容安全策略 (CSP) 是一个额外的安全层,用于检测并削弱某些特定类型的攻击,包括跨站脚本 (XSS) 和数据注入攻击等。无论是数据盗取、网站内容污染还是散发恶意软件,这些攻击都是主要的手段。

CSP 被设计成完全向后兼容,不支持 CSP 的浏览器也能与实现了 CSP 的服务器一样正常运行,只是在不支持 CSP 的浏览器会忽略它,默认为网页内容使用标准的同源策略。如果网站不提供 CSP 头部,浏览器也使用标准的同源策略。

为使 CSP 可用,你需要配置你的网络服务器返回 Content-Security-Policy HTTP 头部 ( 有时你会看到一些关于X-Content-Security-Policy头部,那是旧版本)。

除此之外, <meta> 元素也可以被用来配置该策略,例如

<meta http-equiv="Content-Security-Policy" content="default-src 'self'; img-src https://*; child-src 'none';">

跨站脚本攻击

CSP 的主要目标是减少和报告 XSS 攻击 ,XSS 攻击利用了浏览器对于从服务器所获取的内容的信任。恶意脚本在受害者的浏览器中得以运行,因为浏览器信任其内容来源,即使有的时候这些脚本并非来自于它本该来的地方。

CSP 通过指定有效域——即浏览器认可的可执行脚本的有效来源——使服务器管理者有能力减少或消除 XSS 攻击所依赖的载体。一个 CSP 兼容的浏览器将会仅执行从白名单域获取到的脚本文件,忽略所有的其他脚本 (包括内联脚本和 HTML 的事件处理属性)。

作为一种终极防护形式,始终不允许执行脚本的站点可以选择全面禁止脚本执行。

除限制可以加载内容的域,服务器还可指明哪种协议允许使用;比如 (从理想化的安全角度来说),服务器可指定所有内容必须通过 HTTPS 加载。

使用 CSP

配置内容安全策略涉及到添加 Content-Security-Policy HTTP 头部到一个页面,并配置相应的值,以控制用户代理(浏览器等)可以为该页面获取哪些资源。

你可以使用 Content-Security-Policy HTTP 头部 来指定你的策略,像这样:

Content-Security-Policy: policy

policy 参数是一个包含了各种描述你的 CSP 策略指令的字符串。

描述策略

一个策略由一系列策略指令所组成,每个策略指令都描述了一个针对某个特定类型资源以及生效范围的策略。一个策略可以包含 default-src 或者 script-src 指令来防止内联脚本运行,并杜绝 eval() 的使用。一个策略也可包含一个 default-src 或 style-src 指令去限制来自一个 <style> 元素或者 style 属性的內联样式。

CSP: script-src:指令指定 JavaScript 的有效来源。这不仅包括直接加载到 <script> 元素中的 URL,还包括可以触发执行内联的脚本事件 ( onclick) 和样式表。

script-src该策略可以允许一个或多个来源:

鉴于此 CSP 标头:

Content-Security-Policy: script-src https://example.com/

以下脚本被阻止,不会被加载或执行:

<script src="https://not-example.com/js/library.js"></script>

请注意,内联事件处理程序也被阻止:

<button id="btn" onclick="doSomething()">

您应该用 addEventListener 调用替换它们

如果该指令不存在,用户代理将查找该 default-src指令。

default-src 策略允许指定一个或多个源:

Content-Security-Policy: default-src https://example.com/

或者以下几个值:

'self'

指向与要保护的文件所在的源,包括相同的 URL scheme 与端口号。必须有单引号。一些浏览器会特意排除 blob 与 filesystem 。需要设定这两种内容类型的站点可以在 Data 属性中进行设定。

'unsafe-inline'

允许使用内联资源,例如内联 <script> 元素(javascript: URL)、内联事件处理器以及内联 <style> 元素。必须有单引号。

'unsafe-eval'

允许使用 eval() 以及相似的函数来从字符串创建代码。必须有单引号。

'none'

不允许任何内容。必须有单引号。

假如设定了其他指令(script-src),那么 default-src 不会对它们起作用。这个首部

Content-Security-Policy: default-src 'self'; script-src https://example.com
gtLBTNq9mr3
关注
CSP-内容安全策略
07-27 598
Content-Security-Policy 限制资源获取 报告资源获取越权 default-src 限制全局 指定资源类型限制(connect-src/img-src/script-src/style-src/media-src...) 常用限制 1.限制inline-script(html行内js)与其他域的script引入 2.限制外部地址跳转,form-action 3.等等 ...
内容安全策略(CSP)详解
weixin_47450807的博客
03-02 8278
在上一篇博客我们主要总结了XSS攻击,本篇博客主要总结内容安全策略CSP的相关内容。 一、定义 内容安全策略(CSP),是一种安全策略,其原理是当浏览器请求某一个网站时,告诉该浏览器申明文件可以执行,什么不可以执行。CSP是专门解决XSS攻击而生的神器。 CSP的引入会使得我们的引入扩展程序更加安全,并且可以由开发者指定可以加载扩展程序的类型,避免恶意的脚本在浏览器中执行,造成信息泄露问题。 二、CSP的意义 CSP是防XSS的利器,可以把其理解为白名单,开发者通过设置CSP内容,来规定浏览器可以加载的资
Web 安全内容安全策略 (CSP)
weixin_34356138的博客
12-24 407
内容安全策略 (CSP, Content Security Policy) 是一个附加的安全层,用于帮助检测和缓解某些类型的攻击,包括跨站脚本攻击 (XSS) 和数据注入等攻击。 这些攻击可用于实现从数据窃取到网站破坏或作为恶意软件分发版本等用途。内容安全策略在现代浏览器中已经包含,使用的是 W3C CSP 1.0 标准中描述的 Con...
信息学奥林匹克竞赛详解-CSP、NOIP、NOI、IOI是什么
最新发布
scratch少儿编程
08-08 5088
认证分为两个级别:CSP-J(Junior,入门级)和CSP-S(Senior,提高级),CSP-J/S是信息学奥赛的前置赛,它是由中国计算机学会(CCF)主办的一项全国性的软件能力认证,旨在培养和选拔优秀的编程人才,比赛分为两轮,每年只举办一次。这种循序渐进的方式,有助于学生在信息学奥赛的道路上坚持更长时间,从而获得更多奖项。根据公示名单中的分配方案,我们可以看出,参加NOIP的选手主要从当年参加CSP-S第二轮的高中选手中进行选取,在各省范围内,成绩越优异的选手,获取NOIP参赛资格的几率越高。
CSP安全策略
菜菜鸟的博客
07-04 836
介绍 内容安全策略 (CSP) 是一个附加的安全层,用于帮助检测和缓解某些类型的攻击,包括跨站脚本 (XSS) 和数据注入等攻击。 这些攻击可用于实现从数据窃取到网站破坏或作为恶意软件分发版本等用途。 启动方式 1. 浏览器客户端启动 <meta http-equiv="Content-Security-Policy" content="script-src 'self'"> 2. 服务器nginx启动 server { listen 3012 ;
内容安全策略( CSP )
automation13的博客
11-10 285
内容安全策略 (CSP) 是一个额外的安全层,用于检测并削弱某些特定类型的攻击,包括跨站脚本 (XSS)和数据注入攻击等。(摘自MDN) 具体内容请参考MDN:https://developer.mozilla.org/zh-CN/docs/Web/HTTP/CSP 对于XSS攻击的防止,请参“美团技术团队”公众号,相关文章地址:https://segmentfault.com/a/1190000016551188 对于React和Vue,XSS攻击已经在框架里进行了防范,但是使用 dan...
CSP 内容安全策略
qq_53058639的博客
01-09 369
Content-Security-Policy和Content-Security-Policy-Report-Only,也可以同时使用,Content-Security-Policy带有策略强制性,而Content-Security-Policy-Report-Only中的策略只产生报告不具有强制性。CSP(Content-Security-Policy)内容安全策略,官方解释:CSP是一个额外的完全层,用于检测并小若某些特定类型的攻击,包括跨站脚本攻击XSS和数据注入攻击等。2. 前端通过标签进行配置。
HTML5安全介绍之内容安全策略CSP)简介
01-19
万维网的安全策略植根于同源策略。...每个来源都与网络的其它部分分隔开,为开发人员构建了一个... 现在我们介绍一个全新的、有效的安全防御策略来减轻这种风险,这就是内容安全策略(ContentSecurity Policy,CSP)。
XSS防御 内容安全策略 CSP工作原理、配置技巧与最佳实践_安全策略 img-src
2401_83739951的博客
04-12 944
定义了通过脚本 (例如 Fetch API, XMLHttpRequest 或 WebSockets) 连接的源。⚠️ 由于CSP机制会拒绝白名单内的资源,这个行为对于稳定运行的线上项目其实是比较危险的。CSP策略是设置了许多内容源的字符串,内容源可以对协议、主机host、关键词等等。开发者可以通过下面的手段通知浏览器那些资源是安全的,可加载执行的;:定义哪些源的样式可以被安全地加载和应用。: 定义了哪些源的脚本可以被安全地执行。:指定了哪些源的字体可以被安全地加载。:指定了,,和元素能够加载资源的源。
内容安全策略CSP在网页中的利用方法
作为网页安全的一项重要措施,内容安全策略(Content Security Policy,CSP)在防范恶意攻击和保护用户隐私方面发挥着关键作用。本章将介绍CSP在网页中的利用方法,深入探讨其重要性和实际应用。让我们一起来了解并...
CSP内容安全策略详解.zip
03-31
**内容安全策略(Content Security...综上所述,内容安全策略CSP是现代Web开发中不可或缺的安全工具,它为网站提供了额外的防护层,确保了用户数据的安全。理解和正确使用CSP,是每个Web开发者维护网络安全的重要职责。
CSP 内容安全策略, 介绍, 配置CSP策略, CSP实战绕过
探测???
11-06 4100
CSP内容安全策略)是一种额外的安全层,可以帮助检测和减轻某些类型的攻击,如跨站脚本攻击(XSS)和数据注入攻击。CSP允许网站管理员定义哪些动态资源允许执行和加载,有助于防止恶意脚本执行以及非授权内容的加载。通过使用HTTP头部,网站可以控制用户代理如何执行页面的特定部分,这可以显著减少XSS攻击的风险。default-src:设置默认加载资源的策略(例如,自身的源、任何地方的源、或者不加载任何外部资源)。
CSP 内容安全策略入门
weixin_34085658的博客
06-08 591
导语 最近在修复公司系统一个图片导出的功能,无法导出图片 ,拒绝加载图片blob:http://xxxx,违反Content Security Policy, 于是就 google 一把,这个是什么玩意? Content Security Policy 这是网站安全方面的内容了,对于网站跨域的问题错误不少见,跨域是由于同源策略导致的,只允许加载来自自身的origin 域的数据,即 a.com 是不...
XSS防御 内容安全策略 CSP工作原理、配置技巧与最佳实践_安全策略 img-src(1)
m0_61549591的博客
04-06 881
CSP的全称是,翻译成中文就是内容安全策略CSP是一个计算机安全标准,通过定义允许在置顶网络应用中加载的来源类型,以保护网页不受跨站站点脚本XSS和数据注入攻击等安全攻击。它的基本工作原理其实就是白名单机制,CSP 通过告诉浏览器一系列规则,严格规定页面中哪些资源允许有哪些来源,不在指定范围内的通通拒绝。
内容安全策略-CSP
七天
06-11 852
文章目录一、如何定义CSP二、CSP可防御的攻击三、如何使用 CSP四、常见用例 内容安全策略(CSP)是一个额外的安全层,用于检测并削弱某些特定类型的攻击,包括跨站脚本 (XSS) 和数据包嗅探攻击等。 网站维护者使用CSP去定义一些内容来源的规则,然后通过某种方式将这些规则告诉浏览器,浏览器根据这些规则来判定哪些来源的内容安全的,可以使用的。 一、如何定义CSP 1、使用 元素配置该策略 <meta http-equiv="Content-Security-Policy" conten
HTTP响应头未设置‘Content-Security-Policy‘
weixin_46356409的博客
01-18 2968
当HTTP响应头未设置’Content-Security-Policy’时,表示服务器没有为网页设置内容安全策略(Content Security Policy,CSP)。通过设置内容安全策略,可以限制浏览器加载哪些类型的资源,从而提高网站的安全性。网站容易受到XSS攻击:如果没有设置内容安全策略,攻击者可以在网站上注入恶意脚本,从而窃取用户信息、篡改网页内容或进行其他恶意操作。网站性能可能受到影响:如果没有设置内容安全策略,浏览器需要下载和执行所有类型的资源,这可能会导致网站性能下降。
内容安全策略
IT新技术
05-03 1696
更多HTML 5文章请查阅HTML 6在线网站http://www.html5online.com.cn 本文概述         在传统Web应用程序中,数据的安全性是通过同源策略来实现的。站点A中的代码只能访问站点A中的数据。每一个站点均处于孤立状态,从而保证每一个站点中数据的安全性。从理论上来说,这种做法是无懈可击的,但事实上,许多网络攻击者都已经聪明地发现了如何突破这种限制的方法。
CSP内容安全策略
weixin_45960266的博客
03-02 930
需要注意的是,正确地配置CSP需要开发者对Web应用程序中的资源来源有深入的了解,并进行适当的配置。同时,CSP本身也存在一些局限性,例如无法防止服务器端攻击等问题,因此需要综合使用其他安全技术来保护Web应用程序的安全CSP还可以指定允许的图片、样式表、字体和其他资源的来源,以及禁止使用内联脚本和样式等不安全内容内容安全策略CSP,Content Security Policy)是一种通过限制浏览器执行不安全内容来减少跨站点脚本攻击(XSS)等Web攻击的机制。
CHROME扩展笔记之拒绝unsafe-eval求值
热门推荐
slongzhang的博客
03-18 1万+
开发插件选项页时由于引用了vue框架开发前端页面,导致拒绝eval求值问题 Uncaught EvalError: Refused to evaluate a string as JavaScript because ‘unsafe-eval’ is not an allowed source of script in the following Content Security Policy directive: “script-src ‘self’ blob: filesystem:”. 这是浏览器自
CSP内容安全策略)怎么配置?
02-07
CSP内容安全策略)可以通过在HTTP响应中设置Content-Security-Policy头来配置。这个头可以包含一系列指令,用来指定浏览器应该如何处理页面中的资源。例如,可以使用default-src指令来指定默认的资源来源,使用...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值