CSP
简介
全称content-security-policy
,内容安全策略。
网络是开放的,所以http
协议规定,网页可以加载第三方资源,而这也带来了安全问题。黑客可以注入恶意脚本,通过操作DOM获取用户信息,或修改DOM,影响用户体验。
所以,就出现了CSP,通过CSP,设置资源白名单,可以限制第三方资源的加载,由此防范跨站脚本攻击。
另外,CSP可以上报违例报告。
设置方法
-
服务器返回返回
Content-Security-Policy
HTTP头部。Content-Security-Policy: policy
-
meta 元素也可以被用来配置该策略。
<meta http-equiv="Content-Security-Policy" content="default-src 'self'; img-src https://*; child-src 'none';">
设置属性
-
子属性:
属性名 说明 default-src 默认设置,其他资源类型没有设置策略时使用该策略。 img-src 图片设置 media-src 媒体设置 script-src 脚本设置 object-src 指定特定元素 object embed applet 等元素的策略 style-src 样式设置 report-uri http://reportcollector.example.com/collector.cgi -
值
值 说明 域名或IP地址表示的主机名,可以外加协议、端口。可使用’*’ 协议名: 必须带冒号,不能有单引号 ‘self’ 指向该文件所在的源,即同源 ‘unsafe-eval’