csp主要是方式xss注入(网页注入js,跨域攻击)
1.使用方法:head里面添加meta属性值为http-equiv="Content-Security-Policy" 例如:全部仅加载本地资源, <meta http-equiv="Content-Security-Policy" content="default-src 'self'"/> 2.资源加载限制 script-src:外部脚本 style-src:样式表 img-src:图像 media-src:媒体文件(音频和视频) font-src:字体文件 object-src:插件(比如 Flash) child-src:框架 frame-ancestors:嵌入的外部资源(比如<frame>、<iframe>、<embed>和<applet>) connect-src:HTTP 连接(通过 XHR、WebSockets、EventSource等) worker-src:worker脚本 manifest-src:manifest 文件 3.关键词: 'self' -当前域名 'none' - 禁止加载任何外部 例如:仅允许加载当前域名的图片,本地css及bootsrtaps的css <meta http-equiv="Content-Security-Policy" content="img-src 'self',style-src 'self' https://www.bootcss.com/ "/> 4.report-uri:反馈注入报告,当发现注入行为,会给指定连接发送一个报告文件
例如:<meta http-equiv="Content-Security-Policy" content="default-src 'self',report-uri '/my_amazing_csp_report_parser'"/>
<meta http-equiv="Content-Security-Policy" content="script-src 'self' https://cdn.bootcss.com",report-uri '/my_amazing_csp_report_parser'"/>
<meta http-equiv="Content-Security-Policy" content="default-src 'self',report-uri '/my_amazing_csp_report_parser'"/>
<meta http-equiv="Content-Security-Policy" content="img-src 'self',style-src 'self' https://cdn.jsdelivr.net/ "/> <link rel="stylesheet" type="text/css" href="https://cdn.jsdelivr.net/npm/bootstrap@3.3.7/dist/css/bootstrap.min.css"/>
这样限制之后,其余的js/css等文件将不能被引入,浏览器会自动识别!
756
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
