Content-Security-Policy —— HTML HTTP的内容安全策略

于 2024-03-20 01:45:50 发布
阅读量564 收藏 12
点赞数 15
分类专栏: 2024年程序员 文章标签: html http 前端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_60707579/article/details/136859992
版权
default-src

该指令用作其他 CSP 获取指令的后备。 对于其它指令,用户代理查找 default-src 指令并为其使用此值

font-src

指令指定使用@font-face 加载的字体的有效来源。

示例

// 以下字体将无法加载

frame-src

指定使用<frame><iframe>等元素加载嵌套浏览上下文的有效源。

示例

见 [[#child-src]],将<meta>child-src改为frame-src即可

img-src

指定图像和favicon的有效源

特殊可选来源

  • 'strict-dynamic':严格的动态源代码表达式指定,通过使用nonce或hash将显式给予标记中存在的脚本的信任传播到该根脚本加载的所有脚本。同时,任何允许列表或源表达式(如“self”或“unsafe inline”)都将被忽略

  • 'report-sample': 要求在违规报告中包含违规代码的样本

示例

<meta http-equiv=“content-security-policy” content="

img-src https://www.baidu.com/; ">

// 以下图片将无法加载

example picture
manifest-src

指定哪些manifest可以应用到资源。

示例

<meta http-equiv=“content-security-policy” content="

manifest-src https://www.baidu.com/; ">

// 以下清单文件将无法加载

media-src

指定使用<audio><video>元素加载媒体的有效源。

示例

<meta http-equiv=“content-security-policy” content="

media-src https://www.baidu.com/; ">

// 以下音频与视频将不会被加载和播放

object-src

指定<object><embed><applet>元素的有效源

示例

<meta http-equiv=“content-security-policy” content="

object-src https://www.baidu.com/; ">

// 以下控件将不会被加载

prefetch-src

指令指定可以预取或预呈现的有效源

示例

<meta http-equiv=“content-security-policy” content="

prefetch-src https://www.baidu.com/; ">

// 以下资源将不会被预拉取或预渲染

script-src

指令指定 JavaScript 的有效来源。 这不仅包括直接加载到 <script> 元素中的 URL,还包括可以触发脚本执行的内联脚本事件处理程序 (onclick) 和 XSLT 样式表

特殊可选来源

  • 'strict-dynamic':严格的动态源代码表达式指定,通过使用nonce或hash将显式给予标记中存在的脚本的信任传播到该根脚本加载的所有脚本。同时,任何允许列表或源表达式(如“self”或“unsafe inline”)都将被忽略

  • 'report-sample': 要求在违规报告中包含违规代码的样本

示例

<meta http-equiv=“content-security-policy” content="

script-src https://www.baidu.com/; ">

// 以下资源将不会被预拉取或预渲染

// 以下脚本将不会被加载或执行

小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。

深知大多数初中级前端工程师,想要提升技能,往往是自己摸索成长或者是报班学习,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!
因此收集整理了一份《2024年Web前端开发全套学习资料》送给大家,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友,同时减轻大家的负担。

img
img
img
img

由于文件比较大,这里只是将部分目录截图出来,每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频

如果你觉得这些内容对你有帮助,可以添加下面V无偿领取!(备注:前端)
img

低效又漫长,而且极易碰到天花板技术停滞不前!**
因此收集整理了一份《2024年Web前端开发全套学习资料》送给大家,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友,同时减轻大家的负担。

[外链图片转存中…(img-jNewnJTt-1710870337526)]
[外链图片转存中…(img-KVugON42-1710870337527)]
[外链图片转存中…(img-KfJtl9QB-1710870337528)]
[外链图片转存中…(img-8pesSRZj-1710870337528)]

由于文件比较大,这里只是将部分目录截图出来,每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频

如果你觉得这些内容对你有帮助,可以添加下面V无偿领取!(备注:前端)
[外链图片转存中…(img-g9xM81qB-1710870337529)]

m0_60707579
关注
  • 15
    点赞
  • 12
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Content-Security-Policy.md
06-05
如何设置meta 标签防止XSS攻击,以及CSP的一些说明, CSP 大大增强了网页的安全性。攻击者即使发现了漏洞,也没法注入脚本,除非还控制了一台列入了白名单...一种是通过 HTTP 头信息的`Content-Security-Policy`的字段。
koa-csp:用于设置响应头:Content-Security-Policy
02-03
这是Koa2中间件,用于设置响应标头Content-Security-Policy 安装 npm install koa-csp yarn add koa-csp 用法 import Koa from 'koa' ; import csp from 'koa-csp' ; const app = new Koa ( ) ; app . use ( csp ( ...
http内容安全策略Content Security Policy(CSP)
focus on security
08-24 5509
内容安全策略CSP是安全性的附加层,有助于检测和缓解某些类型的攻击,包括跨站点脚本(https://owasp.org/www-community/attacks/xss/)和数据注入攻击。这些攻击可用于从数据盗窃,站点损坏到恶意软件分发的所有方面。 CSP被设计为完全向后兼容(除CSP版本2,其中有在向后兼容性一些明确提到的不一致性)。不支持它的浏览器仍然可以与实现它的服务器一起使用,反之亦然:不支持CSP的浏览器只是忽略它,照常运行,默认为Web内容的标准同源策略。如果站点不提供CSP标头,则浏览器同
Web 安全之内容安全策略详解(Content-Security-Policy,CSP)
乌龙茶不甜的博客
04-27 1万+
1.CSP 简介 内容安全策略Content Security Policy,简称CSP)是一种以可信白名单作机制,来限制网站是否可以包含某些来源内容,缓解广泛的内容注入漏洞,比如 XSS。 简单来说,就是我们能够规定,我们的网站只接受我们指定的请求资源。默认配置下不允许执行内联代码(2.CSP 使用方式 CSP可以由两种方式指定: HTTP Header 和 HTML。 通过定义在HTTP header 中使用: "Content-Security-Policy:" 策略集 通过定义在 HTML me
内容安全策略 Content-Security-Policy
热门推荐
qq_30436011的博客
10-24 3万+
1、限制资源获取:限制网页当中一系列的资源获取的情况,从哪里获取,请求发到哪个地方限制方式:default-src限制全局的和链接有关的作用范围根据资源类型(connect-src、img-src等),限制资源范围2、报告资源获取越权:在网页当中获取了一些我们不应该获取的资源的时候,给服务进行报告,报告资源获取越权,然后做出调整之所以报这个错误,就是我们加了这个头的作用。这个时候 inline脚本还是不能执行的。如果引入外链的脚本文件,则会报错,这样就可限制,只能使用我们本站使用的脚本。
前端设置Content-Security-Policy
petterDong的博客
06-05 2万+
Content-Security-Policy 1.什么是 Content-Security-Policy? 首先W3C的官方解释链接 Content-Security-Policy MDN的链接配置 Content-Security-Policy 简单来说: 跨域脚本攻击 XSS 是最常见、危害最大的网页安全漏洞。为了防止它们,浏览器自动禁止外部注入恶意脚本. CSP 的实质就是白名单制度,开发者明确告诉客户端,**哪些外部资源可以加载和执行,**等同于提供白名单。它的实现和执行全部由浏览器完成,开发者只
content-security-policy.com:content-security-policy.com网站的源代码
04-27
content-security-policy.com content-security-policy.com网站的源代码
ContentSecurityPolicyFilter:一个可配置的Java Servlet过滤器,将“ Content-Security-Policy”标头添加到ServletResponse
05-02
内容安全策略过滤器(Java) 将“ Content-Security-Policy”或“ Content-Security-Policy-Report-Only”标头添加到响应中。 另请参阅: 通常,您只需要有限的数目,也不需要任何init参数。 如果未定义init参数...
fastify-csp:固定插件以设置Content-Security-Policy标头
05-08
固定插件以设置Content-Security-Policy标头。 为什么? 您可能知道是使用的。 您也可以将其用作fastify的中间件。 那么,为什么我做了这个插件? 您可能会在找到原因,并希望您喜欢它。 :) 区别 该插件已通过...
meta标签添加Content-Security-Policy
weixin_43940592的博客
03-04 2926
const head = document.getElementsByTagName('head'); const meta = document.createElement('meta'); meta.httpEquiv = 'Content-Security-Policy'; meta.content = 'upgrade-insecure-requests'; head[0].appendChild(meta);
前端代码 安全配置 Content-Security-Policy(csp)
fred8的博客
01-13 5661
我们vue项目举例 1.找到修改的目标文件 2.添加Content-Security-Policy策略 <meta charset="utf-8" http-equiv="content-security-policy" content="script-src 'self' ; object-src 'none'; style-src 'self' ; "> 3.如果报错的处理 4.根据描述添加新的策略 <meta charset="utf-8" http-equi
Content-Security-Policy的实战应用
冷故事的博客
07-04 5077
今天在浏览微信页面的时候,发现他的script标签上都有个once属性,好奇之下查阅了一番,发现这个属性是和一个http header Content-Security-Policy有关,这个header不看不知道,一看吓一跳啊,一把利器啊 1. 同源限制 首先我们要知道web浏览器为了安全都有会同源限制,什么是同源限制?就是来自 https://mybank.com 的代码应仅能访问 htt...
HTTP 响应头Content-Security-Policy
focus on security
08-24 9013
HTTP 响应头Content-Security-Policy允许站点管理者控制用户代理能够为指定的页面加载哪些资源。除了少数例外情况,设置的政策主要涉及指定服务器的源和脚本结束点。这将帮助防止跨站脚本攻击(Cross-Site Script)(XSS)。 如需更多信息,请查阅Content Security Policy (CSP)。 禁止修改的消息首部指的是不能在代码中通过编程的方式进行修改的HTTP协议消息首部。本文仅讨论相关的HTTP请求首部(关于禁止修改的响应首部,请参考Forbidd..
Content Security Policy
huxyc的博客
10-28 1544
Content Security Policy内容安全策略,简称csp)用于检测并阻止网页加载非法资源的安全策略,可以减轻xss攻击带来的危害和数据注入等攻击。本文讲述的内容主要有如何使用csp和业务接入csp流程这两部分。简介csp主要工作是定义一套页面资源加载白名单规则,浏览器使用csp规则去匹配所有资源,禁止加载不符合规则的资源,同时将非法资源请求进行上报。csp作用:减轻网页被xss攻击后所受到的危害。
Web安全之Content Security Policy(CSP 内容安全策略)详解
路多辛的所思所想
04-12 5668
Content-Security-Policy值由一个或多个指令组成,多个指令用分号分隔。script-src:外部脚本style-src:样式文件img-src:图片文件media-src:媒体文件(音频和视频)font-src:字体文件object-src:插件(比如 Flash)child-src:框架frame-ancestors:嵌入的外部资源(比如、、和)
Content-Security-Policy头缺失或不安全”
最新发布
11-22
Content-Security-Policy(CSP)是一种安全机制,用于帮助防止跨站点脚本攻击(XSS),数据注入攻击和点击劫持攻击等。如果网站缺少或配置不当,可能会导致安全漏洞。当扫描结果中包含Content-Security-Policy请求头header的缺失或不安全时,我们应该采取以下措施: 1.添加Content-Security-Policy头:在HTTP响应头中添加Content-Security-Policy头,以指定允许加载的资源类型和来源。例如,可以使用“default-src”指令来指定默认策略,以限制允许加载的资源类型和来源。 2.更新现有的Content-Security-Policy头:如果已经存在Content-Security-Policy头,则需要检查其配置是否正确,并根据需要进行更新。 3.使用Web应用程序防火墙(WAF):WAF可以检测和阻止恶意请求,包括XSS攻击和其他类型的攻击。 4.修复应用程序代码:如果应用程序存在漏洞,则需要修复代码以解决问题。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值