WEB安全:Content Security Policy (CSP) 详解

于 2024-05-28 16:23:36 发布
阅读量1.3k 收藏 17
点赞数 17
分类专栏: 夜前端 文章标签: web安全 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/h_midnight/article/details/139270476
版权

Content Security Policy (CSP) 是一种强大的网页安全机制,用于防止跨站脚本 (XSS) 和其他注入攻击。通过设置一系列的内容安全策略,CSP 可以限制网页可以加载的资源,从而保护用户数据和网站的安全性。

在这里插入图片描述

什么是 XSS 攻击?

跨站脚本攻击 (XSS) 是一种常见的安全漏洞,攻击者通过注入恶意脚本来劫持用户会话、破坏网站内容或进行钓鱼攻击。XSS 攻击主要分为三类:

  1. 存储型 XSS:恶意脚本被永久存储在目标服务器上(如数据库),并在用户访问时执行。
  2. 反射型 XSS:恶意脚本通过 URL 参数或表单提交传递,并在服务器响应中反射给用户。
  3. DOM 型 XSS:恶意脚本通过修改客户端的 DOM 结构直接在浏览器中执行。

CSP 防止 XSS 的机制

1. 限制资源加载来源

CSP 可以通过限制资源加载的来源,阻止从不可信来源加载的恶意脚本。例如,script-src 'self' 指定只允许加载同源的脚本,防止外部恶意脚本注入。

Content-Security-Policy: script-src 'self'
2. 禁止内联脚本

内联脚本(直接在 HTML 中嵌入的 <script> 标签)是 XSS 攻击的常见载体。CSP 可以通过禁止内联脚本来阻止这种攻击。

Content-Security-Policy: script-src 'self'; style-src 'self'; default-src 'self'

如果需要使用内联脚本,可以使用 nonce(一次性令牌)或 hash(哈希值)来明确允许特定的内联脚本。

<script nonce=
最低0.47元/天 解锁文章
_midnight
关注
  • 17
    点赞
  • 17
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
Content-Security-Policy内容安全策略
aliven1的博客
09-07 911
https://developer.mozilla.org/zh-CN/docs/Web/HTTP/CSP
Content Security Policy介绍
qdujunjie的专栏
03-03 1577
转自:http://www.2cto.com/Article/201307/230739.html 本文介绍的是W3C的Content Security Policy,简称CSP。顾名思义,这个规范与内容安全有关,主要是用来定义页面可以加载哪些资源,减少XSS的发生。 Chrome扩展已经引入了CSP,通过manifest.json中的content_secur
保护网页免受点击劫持的Content Security PolicyCSP
weixin_42560424的博客
06-27 521
84. 保护网页免受点击劫持的Content Security PolicyCSP) 什么是点击劫持? 点击劫持(Clickjacking)是一种网络安全攻击技术,通过在一个网页上放置透明的或误导性的内容,诱使用户在不知情的情况下点击恶意操作。这种攻击技术可以欺骗用户并执行他们不想执行的操作,如点击隐藏的按钮或链接,可能导致敏感信息泄露、支付信息被篡改等风险。 Content Security PolicyCSP)的作用 Content Security PolicyCSP)是一种用于增强网页安全性的
nginx转发https网页加载http图片乱码问题
艾瑞-Arin
03-08 3157
原因一: 在一个https的网站中,如果加载了http图片资源,浏览器将认为这是不安全的图片资源,将会默认阻止,导致图片是不加载的,同样的css资源、js资源也是一样不加载的。 解决方案: 网页使用https情况下需要全站代码都支持https://。 如果网站存在图片、js、css、mp4、mp3等任何外来的http数据网页会提示不安全。 将外联或本地源码都改成https,外联资源不支持https的下载到本地网页调用。 原因二:X-Content-Type-Options 互联网上的资源有各种类型,通.
内容安全策略Content Security Policy( CSP )
摩尔__摩尔的博客
10-28 2999
内容安全策略 (CSP) 是一个额外的安全层,用于检测并削弱某些特定类型的攻击,包括跨站脚本 (XSS) 和数据注入攻击等。无论是数据盗取、网站内容污染还是散发恶意软件,这些攻击都是主要的手段。 CSP 被设计成完全向后兼容(除CSP2 在向后兼容有明确提及的不一致; 更多细节查看这里 章节1.1)。不支持CSP的浏览器也能与实现了CSP的服务器正常合作,反之亦然:不支持 CSP 的浏览器只...
Tomcat服务器配置X-Content-Type-Options、X-XSS-Protection、Content-Security-Policy、X-Frame-Options
热门推荐
时光有伱,记忆成花~
03-08 3万+
Tomcat目录下,配置请求头 打开tomcat/conf/web.xml,增加如下配置(交流群:700637673) <filter> <filter-name>httpHeaderSecurity</filter-name> <filter-class>org.apache.catal...
CSP:内容安全策略详解.zip
最新发布
03-31
**内容安全策略(Content Security Policy, CSP)**是现代Web应用程序中一种重要的安全特性,用于防御跨站脚本(XSS)攻击和其他恶意代码注入。它允许网站管理员通过定义一个策略来控制页面可以加载哪些资源,如脚本...
Web应用安全:简单XSS测试脚本(实验).docx
06-19
3. **HTTP头部防护**:设置Content-Security-PolicyCSP)以限制脚本来源,阻止非预期的脚本执行。 4. **使用安全编程模式**:如PHP的htmlspecialchars函数,JavaScript的textContent属性代替innerHTML。 5. **更新...
Vue进阶(三十三)Content-Security-PolicyCSP详解
IT全栈 华强工作室
09-05 6379
跨域脚本攻击(XSS)是最常见、危害最大的网页安全漏洞。XSS 攻击利用了浏览器对于从服务器所获取的内容的信任。恶意脚本在受害者的浏览器中得以运行,因为浏览器信任其内容来源,即使有的时候这些脚本并非来自于它本该来的地方。为了防止它,要采取很多编程措施(比如大多数人都知道的转义、过滤HTML)。很多人提出,能不能根本上解决问题,即浏览器自动禁止外部注入恶意脚本?这就是"内容安全策略"(,缩写CSP)的由来。CSP
web】内容安全策略CSPContent-Security-Policy
m0_45406092的博客
02-26 3340
文章目录1. 前言2. CSP作用2.1 什么是资源2.2 资源列表3. csp语法3.1 完整示例3.1.1 复现iframe同源限制3.2 语法深入解析3.1 default-src 1. 前言 内容安全策略(CSP),其核心思想十分简单:网站通过发送一个 CSP 头部,来告诉浏览器什么是被授权执行的与什么是需要被禁止的。其被誉为专门为解决XSS攻击而生的神器。 xss是跨域脚本攻击的缩写,详细可以参见《XSS跨域脚本攻击》,举例来说,可以在页面被注入非法的js脚本,然后产生不安全的后果。 内容安全
Nginx配置Http响应头安全策略
RisunJan的博客
10-22 1万+
1. 防止跨站脚本攻击(XSS):通过设置`CSP(Content-Security-Policy)`,可以限制浏览器只加载和执行来自特定来源的脚本,从而防止恶意脚本注入和执行。 2. 防止点击劫持攻击:通过设置`X-Frame-Options`响应头,可以防止网页被嵌入到其他网站的`iframe`中,避免用户在不知情的情况下触发恶意代码。 3. 提高网站安全性:通过设置`STS(Strict-Transport-Security)`响应头,强制浏览器使用`HTTPS协议`与服务器通信,从而防止信息在传输过
【已解决】“Content-Security-Policy”头缺失
专注于Java领域开发 关注我 带你玩转Java
06-16 9789
【已解决】“Content-Security-Policy”头缺失
Content Security Policy是什么?
m0_57236802的博客
06-30 354
CSP 的工作原理是允许网站管理员发送一个 Content-Security-Policy HTTP 头部,这个头部包含一份策略,策略规定了浏览器如何处理网页的资源。比如,管理员可以设置一个策略,只允许浏览器加载同源(same origin)的脚本,这样,即使黑客注入了一个恶意脚本,浏览器也不会执行它。CSP 提供了很多其他的策略指令,可以用来限制图片、CSS、字体等其他资源的加载,也可以用来设置报告策略,告诉浏览器在哪里报告策略的违规行为。这些攻击主要用于实现数据窃取、网站破坏或恶意软件分发。
Content-Security-Policy —— HTML HTTP的内容安全策略
林中路
07-23 3043
是什么 HTTP 协议的 Content-Security-Policy 响应头允许网站管理员控制用户代理可以为给定页面加载的资源 有什么用 可以防止[[Web安全详解#跨站点脚本攻击]] 语法 Content-Security-Policy: <policy-directive>; <policy-directive> 指令<policy-directive>说明 获取资源型指令 可选来源 <host-source> : 因特网主机的名称或IP地址,以及
Web安全2.3:CSP安全策略、Cookie、Session、同源策略、HTML DOM树
LIHAO的博客
04-19 2525
文章目录Web安全2.3:CSP安全策略:一、CSP:1、CSP的部分命令:2、策略控制:(1)首先我们先把meta标签注释掉,如下:(2)我们这次只注释掉header:(3)两段CSP代码都不注释:3、CSP完整命令:二、Cookie安全:三、Session: Web安全2.3:CSP安全策略: 一、CSP: 浏览器是XSS等前端攻击的战场,有些浏览器附带一些安全策略,包含自带的XSS过滤、同源...
2019-3-9 dvwa学习(11)--Content Security Policy (CSP) Bypass绕过内容(网页)安全策略
weixin_42555985的博客
03-10 3060
Content Security Policy(CSP),内容(网页)安全策略,为了缓解潜在的跨站脚本问题(XSS攻击),浏览器的扩展程序系统引入了内容安全策略(CSP)这个概念。具体内容可以参见《Content Security Policy 入门教程》 在先前的XSS攻击介绍中,主要都是利用函数过滤/转义输入中的特殊字符,标签,文本来应对攻击。CSP则是另外一种常用的应对XSS攻击的策略。 C...
WEB CSP
weixin_34358092的博客
10-09 180
WEB CSP   Vb/Java/php等脚本直接嵌入在HTML中叫 ASP/JSP/PHP, 那么用 C 直接嵌入在HTML中叫 CSP 吗?   是的, 现在我们可以直接将 C 语句嵌入在HTML中了, 并叫它 CSP了.   C 语言天然好的"移植性/高效性/灵活性", 一直以来都是最受程序员青睐的语言, 现在用CSP 技术我们就可以轻松地将 C 语句直接嵌入到 H...
Web内容安全策略CSP(Content-Security-Policy)
大猩猩X
05-04 2004
参数: name: 键 value: 值 path: 路径 domain: 作用域 secure: 设置为安全的,只能用https协议 expires: 过期时间,可以指定日期或者字符串,默认天 // 获取所有 XEUtils.cookie() // 根据name获取 XEUtils.cookie('name') // 删除 XEUtils.cookie('name', null, ...
理解Web安全基础:XSS漏洞详解与防护
3. 开启HTTP头部的Content-Security-PolicyCSP),限制脚本和资源的来源,防止恶意代码执行。 4. 实施输入和输出的分离,确保数据存储和显示使用不同的机制处理,减少跨域脚本的可能。 通过理解存储式XSS的工作...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

_midnight

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值