CSP Content Security Policy(内容安全策略)

于 2025-01-21 11:32:46 发布
阅读量1.3k 收藏 10
点赞数 25
文章标签: 前端 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_42822849/article/details/145280389
版权

CSP Content Security Policy(内容安全策略)

CSP 前端中的 CSP 指的是 Content Security Policy(内容安全策略),是一种用于提升网站安全性的浏览器功能。CSP 主要用于防止 XSS(跨站脚本攻击) 和 数据注入攻击,通过限制网页中的内容来源(如脚本、样式、图像、媒体等)来降低被恶意代码利用的风险。

CSP 在前端的作用

CSP 可以通过 HTTP 响应头或 <meta> 标签来定义安全策略,规定前端页面中允许加载的资源来源。它的核心作用是 控制前端页面中内容的加载来源,确保只能加载可信的内容。

主要作用包括

  1. 防止 XSS 攻击:
    • 禁止内联脚本(inline script,如 <script> 中的代码)。
    • 限制只加载来自可信域名的脚本资源。
  2. 防止恶意外部资源加载:
    • 限制外部资源(如图片、视频、CSS 等)的来源。
    • 阻止加载未经授权的第三方内容。
  3. 防止数据注入:
    • 限制通过特定方式注入的内容(如动态生成的脚本)。
  4. 日志与监控:
    • CSP 可以通过 report-urireport-to 将违规行为记录到服务器,便于分析和监控。

CSP 的主要指令

  1. default-src默认资源来源
    控制所有类型的资源(脚本、图片、样式等)的默认来源。
Content-Security-Policy: default-src 'self'
  • ‘self’ 表示只允许加载当前域的资源。
  1. script-src脚本来源
    限制 <script> 和动态脚本的加载来源。
Content-Security-Policy: script-src 'self' https://trusted.com
  • 仅允许当前域和 https://trusted.com 加载脚本。
  1. style-src样式来源
    限制 <style> 标签或外部 CSS 的加载来源。
Content-Security-Policy: style-src 'self' 'unsafe-inline'
  • 'unsafe-inline' 表示允许内联样式(但一般不推荐,因为会降低安全性)。
  1. img-src图片来源
    限制<img>中图片的加载来源。
Content-Security-Policy: img-src 'self' data:
  • 允许从当前域加载图片,也允许 data: URI 格式的图片(如 Base64 编码)。
  1. connect-src网络请求来源
    限制通过 XMLHttpRequestfetch、WebSocket 等方式发出的请求。
Content-Security-Policy: connect-src 'self' https://api.trusted.com
  1. font-src字体来源
    限制字体文件的加载来源。
Content-Security-Policy: font-src 'self'
  1. frame-src嵌套内容来源
    控制 <iframe> 中嵌套内容的来源。
Content-Security-Policy: frame-src 'self' https://trusted.com

前端开发中使用 CSP 的注意事项

  1. 尽量避免内联脚本:

    • CSP 默认会禁止内联脚本(即 <script> 标签直接书写的代码),包括事件处理程序(如 onclick="...")。
    • 如果必须使用内联脚本,可以通过 noncehash 的方式让 CSP 允许某些特定的内联脚本。

  2. 避免使用通配符:

    • 虽然可以用 * 来允许所有来源,但这会降低安全性。
    • 推荐尽量精确地指定来源。

  3. 开发环境和生产环境策略区分:

    • 在开发环境中可以使用宽松的策略方便调试。
    • 在生产环境中应尽量使用严格的 CSP 策略。

  4. CSP 报警监控:

    • 配置 report-urireport-to,可以记录并监控 CSP 违规行为,帮助发现潜在的安全问题。

示例:CSP 配置

通过 HTTP 响应头设置 CSP:

Content-Security-Policy: default-src 'self'; script-src 'self' https://cdn.example.com; style-src 'self'; img-src 'self' https://images.example.com; connect-src 'self' https://api.example.com; report-uri /csp-violation-report-endpoint/

通过<meta>标签设置 CSP:

<meta http-equiv="Content-Security-Policy" content="default-src 'self'; script-src 'self'; style-src 'self'; img-src 'self' data:;">
一、JWT认证原理、流程整合springboot实战应用
Garry
11-12 488
前言: 学习过程观看视频:编程不良人[JWT认证原理、流程整合springboot实战应用,前后端分离认证的解决方案!] https://www.bilibili.com/video/BV1i54y1m7cP?p=1 欢迎大家支持噢,很良心的老师了 以下内容均为个人学习笔记,若有错误望各位大佬不吝赐教 一、什么是jwt? 二、jwt能做什么? 三、为什么使用jwt 传统的Session认证 例如: 自己搭建一个简单的springboot项目,编写一个简单的测试方法。 我们用postman测试,第一次
JWT认证原理、流程整合springboot
会飞的小蜗
01-19 501
文章目录JWT整合spring boot3、在网关(推荐)或者为微服务项目中定义JWT拦截器4、配置JWT拦截器 JWT JSON Web Token(JWT)是一个非常轻巧的规范。这个规范允许我们使用JWT在用户和服务器之间传递安全可靠的信息。 一个JWT实际上就是一个字符串,它由三部分组成,头部、载荷与签名。 头部(Header) 头部用于描述关于该JWT的最基本的信息,例如其类型以及签名所用的算法等。这也可以被表示成一个JSON对象。 {“typ”:“JWT”,“alg”:“HS256”} 在头部
【SSO】JWT协议示例
05-23 710
JSON Web Token是什么 JSON Web Token (JWT)是一个开放标准(RFC 7519),它定义了一种紧凑的、自包含的方式,用于作为JSON对象在各方之间安全地传输信息。该信息可以被验证和信任,因为它是数字签名的。 什么时候你应该用JSON Web Tokens 下列场景中使用JSON Web Token是很有用的: Authorization (授权) : 这是使用JWT的...
JWT原理与使用(包括与springboot整合)
作为一个长者,有必要记录下人生经验
02-24 433
1.什么是jwt JWT是JSON Web Token的简写,以Json形式做为web应用中的令牌,用于在各方之间安全地将信息作为json对象传输,传输过程中可以完成数据加密、签名等相关处理。 2.jwt能做什么 1.授权。 2.信息交换。 3.jwt有何优势 传统的session认证方式将session保存在服务端(一般是内存),通过客户端cookie的sessionid来找到对应的session实现认证。此方式有如下缺点: 1.随着认证用户的增加,服务器内存会随着增加。 2.如果session保存在服务
spring-boot系列,使用JWT实现登录认证、完整的前后台交互的系统设计案例
03-09
spring-boo框架,基于JWT、redis鉴权设计,使用restful风格设计开发,前台使用layui、bootstrap等
不支持的JWT
weixin_52183261的博客
02-16 1065
原因parseClaimsJwt修改为parseClaimsJws。执行上述代码输出不支持的JWT
JWT认证原理、流程整合springboot实战应用
01-18
**JWT认证原理** JWT由三个部分组成:Header、Payload和Signature。它们通过`.`分隔,形成一个完整的Token。 1. **Header**:通常包含JWT类型(`typ`)和加密算法(`alg`),如`HS256`,表示使用HMAC SHA-256算法...
基于springboot+jwt实现刷新token过程解析
08-19
基于SpringBoot+JWT实现刷新Token过程解析 标题解析 本文主要介绍了基于SpringBootJWT实现刷新Token的过程解析,旨在帮助读者更好地理解Token的刷新机制和实现方式。 描述解析 文中通过示例代码详细介绍了基于...
SpringBoot应用:Token(JWT原理
Carlos的博客
05-14 636
Token基础(简单回顾) 定义 JSON Web Token (JWT)是一个开放标准(RFC 7519),它定义了一种紧凑的、自包含的方式,用于作为JSON对象在各方之间安全地传输信息。该信息可以被验证和信任,因为它是数字签名的。 应用场景 Authorization (授权) : 这是使用JWT的最常见场景。一旦用户登录,后续每个请求都将包含JWT,允许用户访问该令牌允许的路由、服务和资源。单点登录是现在广泛使用的JWT的一个特性,因为它的开销很小,并且可以轻松地跨域使用。 Informat
springboot-jwt:springboot-jwt
05-14
综上所述,"springboot-jwt"项目是关于如何在Spring Boot应用中使用JWT进行用户认证和授权的实例,涵盖了Spring Boot基础、JWT原理以及Spring Security的集成应用等多个关键知识点。通过研究这个项目,开发者可以...
token系列2—解析(解码)及实际应用
yzw3270978316的博客
03-31 4116
Jwt系列2-解析及应用
JWT的简单实现(简单示例)
乐闻世界
06-02 9645
2018-08-23更新: 了解到新的jwt生成和解析方式。 pom.xml &lt;dependency&gt; &lt;groupId&gt;io.jsonwebtoken&lt;/groupId&gt; &lt;artifactId&gt;jjwt&lt;/artifactId&gt; &lt;version&gt;0.7.0&lt;/version&gt; &lt;/
Jwt 报错 : Cannot resolve method ‘parseClaimsJws‘ in ‘JwtParserBuilder‘
上烟雨心上尘的博客
03-26 2944
解决 Jwt 报错 : Cannot resolve method 'parseClaimsJws' in 'JwtParserBuilder'
Java JWT原理、机制及案例示范
最新发布
J老熊
10-12 2537
在分布式系统中,安全性与用户身份的验证是至关重要的环节。在业务系统种,如何保证用户的身份在多个服务中得到安全验证是一个关键问题。JWT(JSON Web Token)是一种广泛使用的身份验证机制,它提供了一种无状态的、分布式的方式来验证用户的身份和权限。 本文将详细讲解JWT原理和机制,分析为什么需要使用JWT,探讨它在电商交易系统中的具体应用,并提供一些常见问题的解决方案。我们还将展示前端如何使用HTML和JavaScript与后端进行JWT身份验证的交互。
Spring Gateway使用JWT实现统一身份认证
王广帅--游戏开发技术
05-23 2071
主要介绍JWT Token在网关统一鉴权中的使用
使用jwt令牌解析时出现的一个错误
MOYUTUDOU的博客
07-28 1352
中的值的类型来自动选择合适的方式进行编码。由于Java是强类型语言,JJWT库在编码时会将数字类型统一转换为浮点数类型(Double),以便于解码时正确还原。所以后来解析出来了一个Double,修改后为。return Result.error("用户名或密码错误");这是错误类型,Double无法强制转换为Integer。log.info("员工登录{}",emp);使用AOP统计操作日志报错,最后发现在。}这是生成jwt令牌的函数。这是jwt的解析函数。
JAVA——JWT帮助类(生成token字符串,获取token其中的内容)
鹏举的博客
05-13 1575
JWT帮助类 主要用来协助生成token,解析token字符串 /** * Jwt帮助类 */ public class JwtHelper { //过期时间 private static long tokenExpiration = 24*60*60*1000; //签名秘钥 private static String tokenSignKey = "123456"; //根据参数生成token public static String cre
jwt解析token报错:Signed Claims JWSs are not supported.
weixin_43549350的博客
03-25 4906
jwt解析token报错:Signed Claims JWSs are not supported. Exception in thread "main" io.jsonwebtoken.UnsupportedJwtException: Signed Claims JWSs are not supported. at io.jsonwebtoken.JwtHandlerAdapter.onClaimsJws(JwtHandlerAdapter.java:50) at io.jsonwebtoken.im
SpringBoot使用JWT详解
qq_41765777的博客
08-13 2317
son web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准.该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值