HTTP CSP

最新推荐文章于 2024-05-13 06:50:56 发布
最新推荐文章于 2024-05-13 06:50:56 发布
阅读量713 收藏
点赞数
分类专栏: HTTP
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/purple_lumpy/article/details/93378957
版权

Content Security Policy (CSP)

https://developer.mozilla.org/zh-CN/docs/Web/Security/CSP

它体现在:

 - 限制资源获取

 - 报告资源获取越权

限制方式

 - default-src 限制全局

 - 制定资源类型(资源类型如,connect-src, img-src, manifest-src, img-src, style-src, media-src, font-src, script-src, frame-src, ...)

下面我们来实验一下。

先是server.js 如下

const http = require('http')
const fs = require('fs')
const zlib = require('zlib')

http.createServer(function (request, response) {
    console.log('request come', request.url)

    const html = fs.readFileSync('test.html')
    response.writeHead(200, {
        'Content-Type': 'text/html'
    })
    response.end(html)
    
}).listen(8888)

console.log('serve listening on 8888')

然后test.html 如下。

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <meta name="viewport" content="width=device-width, initial-scale=1.0">
    <meta http-equiv="X-UA-Compatible" content="ie=edge">
    <title>MyHtml</title>
</head>
<body>
    <div>hello world</div>
    <div>don't speak</div>

    <script>
        console.log('inline js')
    </script>
</body>
</html>

test.html 中有inline js 代码,我们不希望执行inline js 代码。因为XSS 攻击就是执行的inline js 代码。那么我们可以这样做,如下。

const http = require('http')
const fs = require('fs')
const zlib = require('zlib')

http.createServer(function (request, response) {
    console.log('request come', request.url)

    const html = fs.readFileSync('test.html')
    response.writeHead(200, {
        'Content-Type': 'text/html',
        'Content-Security-Policy': 'default-src http: https:'
    })
    response.end(html)
    
}).listen(8888)

console.log('serve listening on 8888')

重启服务,刷新页面,就会发现不会执行inline js 并会在控制条打印出报错信息。

下面,我们将html 中加入一个src 它的内容请求自后台。如下。

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <meta name="viewport" content="width=device-width, initial-scale=1.0">
    <meta http-equiv="X-UA-Compatible" content="ie=edge">
    <title>MyHtml</title>
</head>
<body>
    <div>hello world</div>
    <div>don't speak</div>

    <script>
        console.log('inline js')
    </script>

    <script src="/test.js"></script>
</body>
</html>

然后去改一下后台代码,如下。

const http = require('http')
const fs = require('fs')
const zlib = require('zlib')

http.createServer(function (request, response) {
    console.log('request come', request.url)

    if (request.url === '/') {
        const html = fs.readFileSync('test.html')
        response.writeHead(200, {
            'Content-Type': 'text/html',
            'Content-Security-Policy': 'default-src http: https:'
        })
        response.end(html)
    } else {
        response.writeHead(200, {
            'Content-Type': 'application/javascript'
        })
        response.end('console.log("loaded script")')
    }
    
    
}).listen(8888)

console.log('serve listening on 8888')

我们重启服务,刷新页面就可以看到:

 

不仅如此,我们还可以限制,通过外部链接加载的js 文件,它可以通过哪些域名进行加载。比如限制,只能根据本域名下的js 进行加载,如下。

const http = require('http')
const fs = require('fs')
const zlib = require('zlib')

http.createServer(function (request, response) {
    console.log('request come', request.url)

    if (request.url === '/') {
        const html = fs.readFileSync('test.html')
        response.writeHead(200, {
            'Content-Type': 'text/html',
            'Content-Security-Policy': 'default-src \'self\''
            // cannot inline js
            // 'Content-Security-Policy': 'default-src http: https:'
        })
        response.end(html)
    } else {
        response.writeHead(200, {
            'Content-Type': 'application/javascript'
        })
        response.end('console.log("loaded script")')
    }
    
    
}).listen(8888)

console.log('serve listening on 8888')

然后,我们在test.html  中加入一个外链script (不同域),如下。

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <meta name="viewport" content="width=device-width, initial-scale=1.0">
    <meta http-equiv="X-UA-Compatible" content="ie=edge">
    <title>MyHtml</title>
</head>
<body>
    <div>hello world</div>
    <div>don't speak</div>

    <script>
        console.log('inline js')
    </script>

    <script src="/test.js"></script>

    <script src="https://cdn.bootcss.com/jquery/3.4.1/core.js"></script>
</body>
</html>

重启,刷新后,发现:

当然,也可以设置有些域名的js 外链可访问,如下。

const http = require('http')
const fs = require('fs')
const zlib = require('zlib')

http.createServer(function (request, response) {
    console.log('request come', request.url)

    if (request.url === '/') {
        const html = fs.readFileSync('test.html')
        response.writeHead(200, {
            'Content-Type': 'text/html',
            'Content-Security-Policy': 'default-src \'self\' https://cdn.bootcss.com/'
            // cannot inline js
            // 'Content-Security-Policy': 'default-src http: https:'
        })
        response.end(html)
    } else {
        response.writeHead(200, {
            'Content-Type': 'application/javascript'
        })
        response.end('console.log("loaded script")')
    }
    
    
}).listen(8888)

console.log('serve listening on 8888')

我们还可以限制form 表单的提交方向。form 表单不接受default-src 的限制.设置如下。

const http = require('http')
const fs = require('fs')
const zlib = require('zlib')

http.createServer(function (request, response) {
    console.log('request come', request.url)

    if (request.url === '/') {
        const html = fs.readFileSync('test.html')
        response.writeHead(200, {
            'Content-Type': 'text/html',
            'Content-Security-Policy': 'default-src \'self\'; form-action \'self\''
            // 'Content-Security-Policy': 'default-src \'self\' https://cdn.bootcss.com/'
            // cannot inline js
            // 'Content-Security-Policy': 'default-src http: https:'
        })
        response.end(html)
    } else {
        response.writeHead(200, {
            'Content-Type': 'application/javascript'
        })
        response.end('console.log("loaded script")')
    }
    
    
}).listen(8888)

console.log('serve listening on 8888')

test.html 如下。

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <meta name="viewport" content="width=device-width, initial-scale=1.0">
    <meta http-equiv="X-UA-Compatible" content="ie=edge">
    <title>MyHtml</title>
</head>
<body>
    <div>hello world</div>
    <div>don't speak</div>
    <form action="http://www.baidu.com">
        <input type="text" name="name" />
        <input type="submit" />
    </form>
    <script>
        console.log('inline js')
    </script>

    <script src="/test.js"></script>

    <script src="https://cdn.bootcss.com/jquery/3.4.1/core.js"></script>
</body>
</html>

注意:default-src 是将所有的src 属性限制了,包括 img 的src 。如果只想限制js 的src ,可以将default-src 改为 script-src .

汇报

内容安全策略当出现了,我们不希望出现的情况的时候,我们可以申请它向服务器发送一个请求来进行汇报。如下。

const http = require('http')
const fs = require('fs')
const zlib = require('zlib')

http.createServer(function (request, response) {
    console.log('request come', request.url)

    if (request.url === '/') {
        const html = fs.readFileSync('test.html')
        response.writeHead(200, {
            'Content-Type': 'text/html',
            'Content-Security-Policy': 'default-src \'self\'; form-action \'self\'; report-uri /report'
            // 'Content-Security-Policy': 'default-src \'self\' https://cdn.bootcss.com/'
            // cannot inline js
            // 'Content-Security-Policy': 'default-src http: https:'
        })
        response.end(html)
    } else {
        response.writeHead(200, {
            'Content-Type': 'application/javascript'
        })
        response.end('console.log("loaded script")')
    }
    
    
}).listen(8888)

console.log('serve listening on 8888')

重启刷新,会发现,network 中会发送 report 请求。

我们同时,还可以不阻止src,只是发送report ,如下。

const http = require('http')
const fs = require('fs')
const zlib = require('zlib')

http.createServer(function (request, response) {
    console.log('request come', request.url)

    if (request.url === '/') {
        const html = fs.readFileSync('test.html')
        response.writeHead(200, {
            'Content-Type': 'text/html',
            'Content-Security-Policy-Report-Only': 'default-src \'self\'; form-action \'self\'; report-uri /report'
            // 'Content-Security-Policy': 'default-src \'self\'; form-action \'self\'; report-uri /report'
            // 'Content-Security-Policy': 'default-src \'self\' https://cdn.bootcss.com/'
            // cannot inline js
            // 'Content-Security-Policy': 'default-src http: https:'
        })
        response.end(html)
    } else {
        response.writeHead(200, {
            'Content-Type': 'application/javascript'
        })
        response.end('console.log("loaded script")')
    }
    
    
}).listen(8888)

console.log('serve listening on 8888')

 

purple_lumpy
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
JSON_csp_
10-02
它通过发送HTTPHTTPS响应头来定义这些策略,允许或禁止特定类型的网络请求。 在描述中提到的“树和图的遍历”,这通常是指在数据结构中解决复杂问题时采用的算法。在处理字符串匹配时,可能涉及到构建一个表示...
java windows csp https,CSP: block-all-mixed-content - HTTP 中文开发手册
weixin_39641257的博客
03-20 154
HTTP Content-Security-Policy(CSP)block-all-mixed-content指令可防止在使用 HTTPS 加载页面时使用 HTTP 加载任何资产。所有混合内容资源请求都被阻止,包括主动和被动混合内容。这也适用于 文档,确保整个页面都是免费的混合内容。upgrade-insecure-requests指令在之前被评估block-all-mixed-content,...
如何创建内容安全策略(CSP 标头)
allway2的博客
07-17 4073
script-src'self''unsafe-inline''unsafe-eval';add_headerPermissions-Policy"camera=(),fullscreen=(self),geolocation=(),magnetometer=(),mic=(),midi=(),payment=(),sync-xhr=(),usb=(),扬声器选择=()";您可能还希望在临时站点上执行此操作,并暂时不理会您的生产网站,直到您确定您的CSP已准备就绪。此命令还创建功能策略。...
XSS防御 内容安全策略 CSP工作原理、配置技巧与最佳实践_安全策略 img-src(5)
2401_84264630的博客
05-13 783
本人从事网路安全工作12年,曾在2个大厂工作过,安全服务、售后服务、售前、攻防比赛、安全讲师、销售经理等职位都做过,对这个行业了解比较全面。最近遍览了各种网络安全类的文章,内容参差不齐,其中不伐有大佬倾力教学,也有各种不良机构浑水摸鱼,在收到几条私信,发现大家对一套完整的系统的网络安全从学习路线到学习资料,甚至是工具有着不小的需求。最后,我将这部分内容融会贯通成了一套282G的网络安全资料包,所有类目条理清晰,知识点层层递进,需要的小伙伴可以点击下方小卡片领取哦!
什么是SSH端口?它是如何工作的?
u013300635的博客
01-17 5188
另外,很明显,22端口是默认的通信端口,因此未经授权的一方更容易访问数据。众所周知,22 是默认的 SSH 端口号,最容易受到攻击,任何黑客都可以轻松破解您传输的数据。但是,在某些情况下,密码被认为是一种有风险的身份验证方法,因为密码的强度取决于用户创建密码的方式。现在,让我们将重点放在我们的核心主题上,即 SSH 默认端口。SSH 客户端将建立连接过程,并使用公钥密码术来验证 SSH 服务器的身份=⒘雍螅琒SH 协议将使用强对称加密和散列算法来确保在客户端和服务器之间传输的数据的隐私性和完整性。
远程访问及控制——SSH
nwp0611的博客
04-25 4789
SSH(Secure Shell,安全外壳)是一种网络安全协议,通过加密和认证机制实现安全的访问和文件传输等业务。
Linux修改ssh端口
热门推荐
zhangbeizhen18的博客
11-27 2万+
记录:340 场景:在CentOS 7.9操作系统上,修改默认的ssh端口。ssh默认22端口,在实际开展业务中的生产环境中,通常会修改为指定端口号,以满足规范。
csp详细介绍.zip
03-31
CSP的工作原理是通过在HTTP响应头或者HTML标签中设置一个策略指令,指示浏览器只允许加载符合策略规定的资源。这包括JavaScript、CSS、图片、字体等外部资源,甚至可以限制内联脚本的执行(如`<script>`标签内的代码...
CSP
02-09
此外,理解CSPHTTP缓存、CDN等服务的交互也是必要的,以确保策略的正确传播和执行。 总的来说,掌握Java CSP是提高应用程序安全性的关键步骤,它可以帮助开发者构建出更安全的Web应用,有效防止各种安全威胁,...
CSP:内容安全策略详解.zip
03-31
2. **报头设置**:CSP通常通过HTTP响应头`Content-Security-Policy`来设置,也可以通过HTML `<meta>` 标签`http-equiv="Content-Security-Policy"`在页面中定义。 3. **nonce和hash值**:为了允许动态生成或不可...
SSH远程访问及控制
weixin_46254171的博客
07-05 6535
因为服务器的密码可以通过暴力破解的方式进行破解,所有产生了更加安全的密钥对,必须提供匹配的密钥信息才能通过密钥验证。
SSH本地、远程及动态端口转发详解
phoenix1415的博客
02-18 4539
本地转发1、隧道发起方:SSH客户端隧道响应方:SSH服务器应用发起方:SSH客户端应用响应方:SSH服务器(同时也是应用服务器)2、隧道发起方:SSH客户端隧道响应方:SSH服务器应用发起方:SSH客户端和非SSH客户端(其他通过网络能够访问SSH客户端PC的应用)应用响应方:SSH服务器(同时也是应用服务器)3、隧道发起方:SSH客户端隧道响应方:SSH服务器应用发起方:SSH客户端和非SSH客户端(其他通过网络能够访问SSH客户端PC的应用)
ssh端口配置
weixin_41877582的博客
11-02 1万+
Ssh是一个安全的远程登录协议,它的端口号默认是22端口 vim /etc/ssh/sshd_config firewall-cmd --zone=public --add-port=2202/tcp --permanent 开放端 systemctl restart firewalld.service 重启防火墙(注意) sed -i ‘s#SELINUX=enforcing#SELINUX=disabled#g’ /etc/selinux/config (需要重启)如果需要当时验证就临时关闭seten
http内容安全策略Content Security Policy(CSP)
focus on security
08-24 5671
内容安全策略CSP是安全性的附加层,有助于检测和缓解某些类型的攻击,包括跨站点脚本(https://owasp.org/www-community/attacks/xss/)和数据注入攻击。这些攻击可用于从数据盗窃,站点损坏到恶意软件分发的所有方面。 CSP被设计为完全向后兼容(除CSP版本2,其中有在向后兼容性一些明确提到的不一致性)。不支持它的浏览器仍然可以与实现它的服务器一起使用,反之亦然:不支持CSP的浏览器只是忽略它,照常运行,默认为Web内容的标准同源策略。如果站点不提供CSP标头,则浏览器同
csp介绍
q64644545的博客
08-23 476
CCF-CSP认证分为初级认证和高级认证两个级别,初级认证主要考察考生的基础理论知识和技能,高级认证则更加注重考生在实际项目中的实践能力和管理能力。通过CCF-CSP认证可以证明自己在计算机系统安全领域的专业水平和能力,同时对于企业来说,也是考察和选拔计算机系统安全人才的重要依据之一。CCF-CSP是中国计算机学会(CCF)颁发的计算机系统安全专业资格认证,全称为“中国计算机学会-计算机系统安全专业人员(CCF-CSP)”。
CSP简单介绍
秋水的博客
09-24 4730
由于这个东东我刚刚学习,没什么例子参考,也没办法动手实践接下来值提供一些可以看看的文章,供以后用到的时候继续学习 CSP简介 什么是CSPCSP(Content Security Policy)指的是内容安全策略 ,是一个附加的安全层,用于帮助检测和缓解某些类型的攻击,包括跨站脚本攻击 (XSS) 和数据注入等攻击 这些攻击可用于实现从数据窃取到网站破坏或作为恶意软件分发版本等...
SSH端口映射
private_void_main的博客
04-27 2735
将远程主机的某个端口映射到本主机的某个端口, 使得可以直接通过访问到本主机的某个端口和来访问远程主机的端口。
前端安全配置之Content-Security-Policy(csp)
weixin_30326745的博客
12-23 1953
什么是CSP CSP全称Content Security Policy ,可以直接翻译为内容安全策略,说白了,就是为了页面内容安全而制定的一系列防护策略. 通过CSP所约束的的规责指定可信的内容来源(这里的内容可以指脚本、图片、iframe、fton、style等等可能的远程的资源)。通过CSP协定,让WEB处于一个安全的运行环境中。 有什么用? 我们知道前端有个很著名的”同源策略”,...
信息学奥赛/CSP/NOIP是什么?怎么规划?
bigbigli的博客
03-04 1万+
有很多家长可能对信息学奥赛有所了解,也听说信奥学的好甚至能保送清华北大,但具体信奥是什么或者对于很多名词/赛事并不是很清楚,大李这里简单给大家介绍下什么是信息学奥赛,什么是CSP-J/S,什么又是NOIP等。 在了解信息学奥赛的同时,这里大李也会给大家做一个详细的规划,什么时候学、怎么学、什么时间参加什么赛事最合适... ... 信息学奥林匹克竞赛 信息学奥林匹克竞赛简称信奥赛,由中国计算机学会(CCF)于1984年创办,是为全国青少年举办的计算机程序设计竞赛,属于五大学科竞赛之一(数学、物理、化学、生
java csp策略
最新发布
05-31
CSP 策略通过设置 HTTP 响应头实现。在 Java 中,可以使用 Servlet Filter 或 Spring Security 等框架来实现 CSP 策略。下面是一个简单的 CSP 策略示例: ``` Content-Security-Policy: default-src 'self'; script...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值