web安全

最新推荐文章于 2025-03-04 10:50:41 发布

李唐敏民

最新推荐文章于 2025-03-04 10:50:41 发布

阅读量417

点赞数

分类专栏：干货系列文章标签：安全 https http web

本文链接：https://blog.csdn.net/qq_39041210/article/details/115079276

版权

干货系列专栏收录该内容

14 篇文章

订阅专栏

本文介绍了Web安全的关键概念，包括内容安全策略（CSP）用于防止跨站脚本攻击，Cookie的安全配置以保护用户数据，CORS策略允许安全的跨域资源共享，以及HTTPS确保数据传输的加密。同时，文章还提到了常见的攻击方式如XSS、CSRF和DDoS及其防御措施。

摘要生成于 C知道，由 DeepSeek-R1 满血版支持，前往体验 >

CSP

简介

全称content-security-policy，内容安全策略。

网络是开放的，所以http协议规定，网页可以加载第三方资源，而这也带来了安全问题。黑客可以注入恶意脚本，通过操作DOM获取用户信息，或修改DOM，影响用户体验。

所以，就出现了CSP，通过CSP，设置资源白名单，可以限制第三方资源的加载，由此防范跨站脚本攻击。

另外，CSP可以上报违例报告。

设置方法

服务器返回返回 Content-Security-Policy HTTP头部。

Content-Security-Policy: policy
meta 元素也可以被用来配置该策略。

<meta http-equiv="Content-Security-Policy" content="default-src 'self'; img-src https://*; child-src 'none';">

设置属性

子属性：

属性名	说明
default-src	默认设置，其他资源类型没有设置策略时使用该策略。
img-src	图片设置
media-src	媒体设置
script-src	脚本设置
object-src	指定特定元素 object embed applet 等元素的策略
style-src	样式设置
report-uri	http://reportcollector.example.com/collector.cgi

值

值	说明
	域名或IP地址表示的主机名，可以外加协议、端口。可使用’*’
	协议名: 必须带冒号，不能有单引号
‘self’	指向该文件所在的源，即同源
‘unsafe-eval’	允许使用`eval()`来从字符串创建代码
‘unsafe-inline’	允许内联样式
‘none’	不允许任何内容，即

违例报告

报告为JSON对象，包含

document-uri 发生违规的文档URL。

referrer 违规发生处的文档引用。

blocked-uri 被阻止的资源URI。

violated-directive 违反的策略名称。

original-policy 原始策略。

例子

一个网站管理者允许网页应用的用户在他们自己的内容中包含来自任何源的图片, 但是限制音频或视频需从信任的资源提供者(获得)，所有脚本必须从特定主机服务器获取可信的代码。
```
Content-Security-Policy: default-src 'self'; img-src *; media-src media1.com media2.com; script-src userscripts.example.com
```
一个线上银行网站的管理者想要确保网站的所有内容都要通过SSL方式获取，以避免攻击者窃听用户发出的请求。
```
Content-Security-Policy: default-src https://onlinebanking.jumbobank.com
```
一个在线邮箱的管理者想要允许在邮件里包含HTML，同样图片允许从任何地方加载，但不允许JavaScript或者其他潜在的危险内容(从任意位置加载)。

Content-Security-Policy: default-src 'self' *.mailsite.com; img-src *

Cookie

cookie时服务器发送到用户浏览器并保存到本地的小块数据，在下次向同一服务器发起请求时被携带在头上。

创建Cookie

服务器在响应头添加Set-Cookie 选项。

作用域

Cookie应该发送给哪些URL。

`Domain`

哪些主机可以接收Cookie。默认为orgin ，不包含子域名。若指定Domain，则会包含子域名，所以应该使用指定Domain。

`Path`

指定了主机下哪些路径可以接收Cookie，以字符%x2F ("/") 作为路径分隔符，子路径也会被匹配。

安全

`SameSite`

限制跨站发送Cookie。

None 第三方发起的请求，都会带上请求地址的Cookie。
Strict 严格模式。第三方发起请求，都不会带上请求地址的Cookie。
Lax 宽松模式。从第三方站点的连接打开（a标签），和提交方式为Get的表单带Cookie。但是，Post方法，或img iframe 等标签加载的URL，不携带。

`HttpOnly`

限制document操作Cookie。

通过document.cookie可以获取cookie，但是，如果Set-Cookie设置了HttpOnly属性，那么，该cookie将不会被JavaScript读取或修改。

CORS

全程Cross-origin Resource Sharing，跨域资源共享。

这是为了解决同源策略导致的资源共享问题的策略，该策略能够安全的实现跨域资源共享。

配置

CORS主要在服务器进行配置，服务器通过设置相关响应头来通知浏览器。

响应头	说明
Access-Control-Allow-Origin	允许的源
Access-Control-Allow-Methods	允许的方法
Access-Control-Allow-Headers	允许自定义的请求头
Access-Control-Max-Age	策略有效期
Access-Control-Allow-Credentials	允许请求带认证

简单请求

对于GET 和 POST ，没有自定义头，请求类型为text/plain 的跨域请求。

浏览器会自动添加origin 头部，以便确认服务器是否提供响应。

服务器如果没有配置Access-Control-Allow-Origin，或源不匹配会返回403和Access-Control-Allow-Origin。

如果匹配则会处理该请求。

可以读取响应的状态和状态信息，但是，也有限制。

限制：

无法发送和接收cookie。
无法设置请求头。
获取请求头信息会得到空。

复杂请求

需要自定义头部，或者使用GET POST 之外的请求，或者请求其他内容类型。浏览器会进行预检请求。

请求方式为OPTIONS。包含头部：

Origin
Access-Control-Request-Method
Access-Control-Request-Headers

服务器返回对应的：

Access-Control-Allow-Orgin
Access-Control-Allow-Methods
Access-Control-Allow-Headers
Access-Control-Max-Age

默认请求下，跨域请求不提供凭据，可以通过设置请求头 withCredentials 为 true 表明请求希望发送凭据。服务器如果返回Access-Control-Allow-Credentials 为 true ，则允许发送凭据请求。如果没有这个头部，那么该响应会进入onerror()，status为0。