web安全

最新推荐文章于 2024-03-05 12:00:00 发布
最新推荐文章于 2024-03-05 12:00:00 发布
阅读量204 收藏
点赞数
分类专栏: 干货系列 文章标签: 安全 https http web
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_39041210/article/details/115079276
版权

CSP

简介

全称content-security-policy,内容安全策略。

网络是开放的,所以http协议规定,网页可以加载第三方资源,而这也带来了安全问题。黑客可以注入恶意脚本,通过操作DOM获取用户信息,或修改DOM,影响用户体验。

所以,就出现了CSP,通过CSP,设置资源白名单,可以限制第三方资源的加载,由此防范跨站脚本攻击。

另外,CSP可以上报违例报告。

设置方法

  1. 服务器返回返回 Content-Security-Policy HTTP头部。

    Content-Security-Policy: policy

  2. meta 元素也可以被用来配置该策略。

    <meta http-equiv="Content-Security-Policy" content="default-src 'self'; img-src https://*; child-src 'none';">

设置属性

  1. 子属性:

    属性名 说明
    default-src 默认设置,其他资源类型没有设置策略时使用该策略。
    img-src 图片设置
    media-src 媒体设置
    script-src 脚本设置
    object-src 指定特定元素 object embed applet 等元素的策略
    style-src 样式设置
    report-uri http://reportcollector.example.com/collector.cgi

  2. 说明
    域名或IP地址表示的主机名,可以外加协议、端口。可使用’*’
    协议名: 必须带冒号,不能有单引号
    ‘self’ 指向该文件所在的源,即同源
    ‘unsafe-eval’
最低0.47元/天 解锁文章
李唐敏民
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Web安全
02-26
Web服务是指采用B/S架构、通过Http协议提供服务的统称,这种结构也称为Web架构,随着Web2.0的发展,出现了数据与服务处理分离、服务与数据分布式等变化,其交互性能也大大增强,也有人叫B/S/D三层结构。互联网能够快速流行得益于Web部署上的简单,开发上简便,Web网页的开发大军迅速超过了以往任何计算机语言的爱好者,普及带来了应用上繁荣。J2EE与.NET的殊途同归,为Web流行扫清了厂家与标准的差异;众望所归,SOA选中Web2.0作为其实现的基本工具之一(使用最广的),Web架构从互联网走进了企业内部网络,新业务系统的开发,越来越多的系统架构师选择了Web架构,与熟悉它的人如此广泛
Web安全实战
01-30
本章将主要介绍使用Node.js开发web应用可能面临的安全问题,读者通过阅读本章可以了解web安全的基本概念,并且通过各种防御措施抵御一些常规的恶意攻击,搭建一个安全web站点。在学习本章之前,读者需要对HTTP协议、SQL数据库、Javascript有所了解。在互联网时代,数据安全与个人隐私受到了前所未有的挑战,我们作为网站开发者,必须让一个web站点满足基本的安全三要素:(1)机密性,要求保护数据内容不能泄露,加密是实现机密性的常用手段。(2)完整性,要求用户获取的数据是完整不被篡改的,我们知道很多OAuth协议要求进行sign签名,就是保证了双方数据的完整性。(3)可用性,保证我们的
XSS终结者:Content Security Policy(CSP
08-18 540
Content Security Policy(CSP)简介 传统的web安全应该主要是同源策略(same origin policy)。A网站的代码不能访问B网站的数据,每个域都和其他的域相互隔离,给开发者营造了一个安全沙箱。理论上这是非常聪明的做法,但是实际执行过程中,攻击者使用了各种高招可以推翻这套保护。 XSS攻击者把恶意代码注入在网站常规数据里,这样就可以绕过浏览器的同源策略。浏览器
安全头响应头(一)Content-Security-Policy
最新发布
wangluoanquan111的博客
03-05 1087
一 [Content Security Policy CSP](https://developer.mozilla.org/en-① 背景引入② 启用CSP的两种方法③ CSP语法④[各个指令的解读](https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Content-Security-Policy/object-src “各个指令的解读”)⑤。
【网络安全Content Security Policy (CSP) 介绍
qq_43842093的博客
06-03 1581
内容安全策略 (CSP) 是一个额外的安全层,用于检测并削弱某些特定类型的攻击,包括跨站脚本 (XSS) 和数据注入攻击等。无论是数据盗取、网站内容污染还是散发恶意软件,这些攻击都是主要的手段。
安全Web 安全学习笔记
weixin_33893473的博客
12-05 228
背景 说来惭愧,6 年的 web 编程生涯,一直没有真正系统的学习 web 安全知识(认证和授权除外),这个月看了一本《Web 安全设计之道》,书中的内容多是从微软官方文档翻译而来,这本书的含金量不高,不过也不能说没有收获,本文简单记录一下我学习 Web 安全方面的笔记。 本文不涉及 IIS、Windows 和 SqlServer 的安全管理与配置,尽量只谈编程相关的安全问题。 最简单的 W...
Web 安全
友人C君的博客
06-27 1123
XSS攻击 跨站脚本攻击(Cross Site Script) XSS的重点不在于跨站点,而在于脚本的执行。那么XSS的原理是: 恶意攻击者在web页面中会插入一些恶意的script代码。当用户浏览该页面的时候,那么嵌入到web页面中script代码会执行,因此会达到恶意攻击用户的目的。那么XSS攻击最主要有如下分类:反射型、存储型、及 DOM-based型。 反射性和DOM-baseed型可以归类为非持久性XSS攻击。存储型可以归类为持久性XSS攻击。 反射型 反射型xss一般指攻击者通过..
web 安全
03-23
web 安全
Web安全漏洞加固手册 V2.0
03-17
Web安全漏洞加固手册 V2.0
Vue进阶(三十三)Content-Security-Policy(CSP)详解
IT全栈 华强工作室
09-05 5394
跨域脚本攻击(XSS)是最常见、危害最大的网页安全漏洞。XSS 攻击利用了浏览器对于从服务器所获取的内容的信任。恶意脚本在受害者的浏览器中得以运行,因为浏览器信任其内容来源,即使有的时候这些脚本并非来自于它本该来的地方。为了防止它,要采取很多编程措施(比如大多数人都知道的转义、过滤HTML)。很多人提出,能不能根本上解决问题,即浏览器自动禁止外部注入恶意脚本?这就是"内容安全策略"(,缩写CSP)的由来。CSP。
Content-Security-Policy —— HTML HTTP的内容安全策略
林中路
07-23 2959
是什么 HTTP 协议的 Content-Security-Policy 响应头允许网站管理员控制用户代理可以为给定页面加载的资源 有什么用 可以防止[[Web安全详解#跨站点脚本攻击]] 语法 Content-Security-Policy: <policy-directive>; <policy-directive> 指令<policy-directive>说明 获取资源型指令 可选来源 <host-source> : 因特网主机的名称或IP地址,以及
WEB安全综述
一颗小白菜
11-26 460
web安全综述 1,web体系系统结构(由低到高的顺序) ①操作系统:Linux/Windows ②存储:web应用保存大量信息,包括平台信息、用户信息、服务器数据等 ③web容器:为上层开发语言提供运行环境(中间件有相同的功能) 中间件:联系操作系统和web应用,作为中转部分用来进行沟通联系,向web应用和操作系统执行连接。 apache/nginx:既可以起到web容器的作用,为编程语言提供环境的同时也是中间件,沟通web应用和操作系统 IIS ④web服务端语言:PHP/JSP/.NET ⑤web开发
百度新闻爬虫搜索引擎实战---爬虫篇(1)
李唐敏民的博客
08-14 4141
爬虫部分 首先,我们得爬取百度新闻的信息。 爬虫分为两部分: 获取新闻链接 通过链接爬取新闻信息 1.获取新闻链接 1.1 分析请求 打开chrome浏览器,输入百度新闻链接,按F12打开开发者工具,依次点击Network->Doc,再刷新一次网页,效果如下: 我们看到了所有返回doc的请求。接着,我们点击Preview选项卡: 通过预览,我们可以看到这个请求热点要闻、热搜新闻词和百...
awvs web安全现状
12-19
关于web安全的现状,目前网络安全形势严峻,各种网络攻击和漏洞不断涌现。随着互联网的普及和应用的广泛,网站和应用程序的安全性变得尤为重要。黑客和攻击者利用各种手段和技术来窃取用户信息、破坏网站功能、传播...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值