CSP 内容安全策略

已于 2024-01-19 10:56:48 修改
阅读量354 收藏
点赞数
文章标签: 安全 服务器 网络
于 2023-01-09 18:00:00 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_53058639/article/details/128610762
版权

CSP(Content-Security-Policy)内容安全策略,官方解释:CSP是一个额外的完全层,用于检测并小若某些特定类型的攻击,包括跨站脚本攻击XSS和数据注入攻击等。

配置方法:

1. 后端配置网络服务器返回Content-Security-Policy头部

2. 前端通过标签进行配置

<meta http-equiv="Content-Security-Policy" content="default-src 'self';">

CSP使用目的

XSS攻击方面:CSP的主要用途是减少和上报XSS攻击,通过指定 浏览器认可的可执行脚本的有效来源(将仅执行从白名单域获取到的脚本文件,忽略所有其他脚本,包括内联脚本和HTML的事件处理属性),使服务器管理者有能力减少或者消除XSS攻击所依赖的载体。

数据注入攻击方面:可指定所有内容必须通过HTTPS加载。

策略制定

配置相关策略,可以控制浏览器为该页面获取的资源。

Content-Security-Policy: default-src | script-src | style-src | img-src …

  • script-src:外部脚本
  • style-src:样式表
  • img-src:图像
  • media-src:媒体文件(音频和视频)
  • font-src:字体文件
  • object-src:插件(比如 Flash)
  • child-src:框架
  • frame-ancestors:嵌入的外部资源(比如、、和)
  • connect-src:HTTP 连接(通过 XHR、WebSockets、EventSource等)
  • worker-srcworker脚本
  • manifest-src:manifest 文件

常用安全策略方案:

1. 内容同源

Content-Security-Policy: default-src 'self'

2. 信任指定域资源

Content-Security-Policy: default-src 'self' *.example.com

3. 信任所有图片源,限制富媒体资源

Content-Security-Policy: default-src 'selc'; img-src *; media-src media1.com media2.com; srcipt-src *.example.com

默认的,各类资源允许从文档所在源获取,但以下内容除外:

  • 图片资源不受限制
  • 富媒体资源仅允许从media1.com, media2.com获取,且这类站点的不包括子域
  • 可运行脚本仅允许*.example.com
  • 若此处不设置script-src,仅允许javascript从原始服务器获取

4. 通过HTTPS加载

Content-Security-Policy: default-src https://some.trusted.com/

测试策略

Content-Security-Policy-Report-Only(报告模式),CSP策略不是强制性的,但任何违规行为都会上报到指定URI。

Content-Security-Policy和Content-Security-Policy-Report-Only,也可以同时使用,Content-Security-Policy带有策略强制性,而Content-Security-Policy-Report-Only中的策略只产生报告不具有强制性。发送违规报告

启用发送违规报告,需要指定report-uri策略指令,并提供至少一个URI地址:

Content-Security-Policy: default-src 'self'; report-uri https://report.catch.com/collector.cpi

然后在服务器设置接收。

案例使用说明

假设一个 https://example.com/index.html 页面,CSP策略禁止任何资源的加载,除了cdn.example.com的资源样式表。

Content-Security-Policy: default-src 'none'; style-src cdn.example.com; report-uri /_/report-collect

index.html代码如下:

<!DOCTYPE html>
<html><head><link rel="stylesheet" href="css/style.css"></head><body>...</body>
</html>

由于CSP的设置,页面总link标签的css资源无法被正常加载,且还会发送一个违规报告到https://example.com/_/report-collect:

{"report-collect": {"document-uri":https://example.com/index.html, // 发生违规行为的文档的URI"referrer": "",// 违规发生处的文档引用地址"blocked-uri": "https://example.com/css/style.css", // 被CSP阻止的资源"violated-directive": "style-src cdn.example.com",// 违反的策略名称"original-policy": "default-src 'none'; style-src cdn.example.com;report-uri /_/report-collect", // 原始策略}
}
程序员小肖
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
CSP内容安全策略详解.zip
03-31
**内容安全策略(Content Security Policy,简称CSP)** 是一种网络安全性机制,用于防御跨站脚本攻击(XSS)和其他恶意注入。通过定义一套允许加载的资源来源、类型和执行方式,CSP帮助网站管理员限制浏览器仅执行...
HTML5安全介绍之内容安全策略CSP)简介
01-19
万维网的安全策略植根于同源策略。例如www.jb51.net的代码只能访问www.jb51.net的数据,而没有访问http://www.baidu.com的权限。每个来源都与网络的其它部分分隔开,为开发人员构建了一个安全的沙箱。理论上这是完美的,但是现在攻击者已经找到了聪明的方式来破坏这个系统。        这就是XSS跨站脚本攻击,通过虚假内容和诱骗点击来绕过同源策略。这是一个很大的问题,如果攻击者成功注入代码,有相当多的用户数据会被泄漏。        现在我们介绍一个全新的、有效的安全防御策略来减轻这种风险,这就是内容安全策略(ContentSecurity Policy,CSP)。
前端设置Content-Security-Policy
petterDong的博客
06-05 2万+
Content-Security-Policy 1.什么是 Content-Security-Policy? 首先W3C的官方解释链接 Content-Security-Policy MDN的链接配置 Content-Security-Policy 简单来说: 跨域脚本攻击 XSS 是最常见、危害最大的网页安全漏洞。为了防止它们,浏览器自动禁止外部注入恶意脚本. CSP 的实质就是白名单制度,开发者明确告诉客户端,**哪些外部资源可以加载和执行,**等同于提供白名单。它的实现和执行全部由浏览器完成,开发者只
XSS防御 内容安全策略 CSP工作原理、配置技巧与最佳实践_安全策略 img-src
最新发布
2401_84297944的博客
04-26 1100
对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!CSP策略是设置了许多内容源的字符串,内容源可以对协议、主机host、关键词等等。开发者可以通过下面的手段通知浏览器那些资源是安全的,可加载执行的;💡 CSP 定义了一系列的指令,每个指令控制一个特定的策略。:定义哪些源的样式可以被安全地加载和应用。: 定义了哪些源的脚本可以被安全地执行。:指定了哪些源的字体可以被安全地加载。:指定了,,和元素能够加载资源的源。
http内容安全策略Content Security Policy(CSP)
focus on security
08-24 5662
内容安全策略CSP安全性的附加层,有助于检测和缓解某些类型的攻击,包括跨站点脚本(https://owasp.org/www-community/attacks/xss/)和数据注入攻击。这些攻击可用于从数据盗窃,站点损坏到恶意软件分发的所有方面。 CSP被设计为完全向后兼容(除CSP版本2,其中有在向后兼容性一些明确提到的不一致性)。不支持它的浏览器仍然可以与实现它的服务器一起使用,反之亦然:不支持CSP的浏览器只是忽略它,照常运行,默认为Web内容的标准同源策略。如果站点不提供CSP标头,则浏览器同
Content-Security-Policy —— HTML HTTP的内容安全策略
qq_58071132的博客
03-30 1062
面试题千万不要死记,一定要自己理解,用自己的方式表达出来,在这里预祝各位成功拿下自己心仪的offer。CodeChina开源项目:【大厂前端面试题解析+核心总结学习笔记+真实项目实战+最新讲解视频】截图出来,每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频,并且后续会持续更新**如果你觉得这些内容对你有帮助,可以添加V获取:vip1024c (备注前端)[外链图片转存中…(img-DYeSI5Dy-1711732469608)]
Vue进阶(三十三)Content-Security-Policy(CSP)详解
IT全栈 华强工作室
09-05 6256
跨域脚本攻击(XSS)是最常见、危害最大的网页安全漏洞。XSS 攻击利用了浏览器对于从服务器所获取的内容的信任。恶意脚本在受害者的浏览器中得以运行,因为浏览器信任其内容来源,即使有的时候这些脚本并非来自于它本该来的地方。为了防止它,要采取很多编程措施(比如大多数人都知道的转义、过滤HTML)。很多人提出,能不能根本上解决问题,即浏览器自动禁止外部注入恶意脚本?这就是"内容安全策略"(,缩写CSP)的由来。CSP
CSP内容安全策略
dzqxwzoe的博客
01-09 1589
内容安全策略 (CSP是一个附加的安全层,有助于检测和缓解某些类型的攻击,包括跨站点脚本(XSS)和数据注入攻击。这些攻击用于从数据窃取到网站污损或恶意软件分发的所有事情。
CSP内容安全策略
weixin_45960266的博客
03-02 873
需要注意的是,正确地配置CSP需要开发者对Web应用程序中的资源来源有深入的了解,并进行适当的配置。同时,CSP本身也存在一些局限性,例如无法防止服务器端攻击等问题,因此需要综合使用其他安全技术来保护Web应用程序的安全CSP还可以指定允许的图片、样式表、字体和其他资源的来源,以及禁止使用内联脚本和样式等不安全内容内容安全策略CSP,Content Security Policy)是一种通过限制浏览器执行不安全内容来减少跨站点脚本攻击(XSS)等Web攻击的机制。
CSP内容安全策略原理与绕过
st3pby的博客
11-09 2549
Content Security Policy (CSP内容安全策略,是一个附加的安全层,有助于检测并缓解某些类型的攻击,包括跨站脚本(XSS)和数据注入攻击。
内容安全策略 Content-Security-Policy
热门推荐
qq_30436011的博客
10-24 3万+
1、限制资源获取:限制网页当中一系列的资源获取的情况,从哪里获取,请求发到哪个地方限制方式:default-src限制全局的和链接有关的作用范围根据资源类型(connect-src、img-src等),限制资源范围2、报告资源获取越权:在网页当中获取了一些我们不应该获取的资源的时候,给服务进行报告,报告资源获取越权,然后做出调整之所以报这个错误,就是我们加了这个头的作用。这个时候 inline脚本还是不能执行的。如果引入外链的脚本文件,则会报错,这样就可限制,只能使用我们本站使用的脚本。
Web 安全内容安全策略(Content-Security-Policy,CSP)配置问题
baiyongliang
05-23 3万+
简单的配置方式:Content-Security-Policy,X-Frame-Options头未设置”警告的过滤器 1.CSP 简介 内容安全策略(Content Security Policy,简称CSP)是一种以可信白名单作机制,来限制网站是否可以包含某些来源内容,缓解广泛的内容注入漏洞,比如 XSS。 简单来说,就是我们能够规定,我们的网站只接受我们指定的请求资源。默认配置下不允许执行...
Content Security Policy 入门教程
weixin_33805557的博客
09-30 187
Content Security Policy 入门教程 跨域脚本攻击XSS是最常见、危害最大的网页安全漏洞。 为了防止它们,要采取很多编程措施,非常麻烦。很多人提出,能不能根本上解决问题,浏览器自动禁止外部注入恶意脚本?这就是"网页安全政策"(Content Security Policy,缩写 CSP)的来历。本文详细介绍如何使用 CSP 防...
前端安全-常见的攻击以及防御
weixin_30794851的博客
06-14 148
一、基础知识 1、XSS(Cross Site Scripting)跨站脚本攻击 (1)原理:页面渲染的数据中包含可运行的脚本 (2)攻击的基本类型:反射型(url参数直接注入)和存储型(存储到DB后读取时注入) (3)注入点:HTML节点内的内容(text);HTML中DOM元素的属性;Javascript代码;富文本 //HTML节点内容注入 <div><sc...
关于启用 HTTPS 的一些经验分享
王王没想到博客
03-23 1500
随着国内网络环境的持续恶化,各种篡改和劫持层出不穷,越来越多的网站选择了全站 HTTPS。HTTPS 通过 TLS 层和证书机制提供了内容加密、身份认证和数据完整性三大功能,可以有效防止数据被查看或篡改,以及防止中间人冒充。本文分享一些启用 HTTPS 过程中的经验,重点是如何与一些新出的安全规范配合使用。至于 HTTPS 的部署及优化,之前写过很多,本文不重复了。 理解 Mixed Con
CSP(Content Security Policy),在一定程度上能预防XSS攻击
qq_36846234的博客
12-23 1872
在介绍CSP之前,我们先先来了解一下什么是XSS攻击?XSS攻击:一种常见的跨脚本web攻击方式,它通过向浏览器注入一段可执行的恶意脚本代码,并且被浏览器成功的执行来达到攻击的目的。一次XSS攻击可以获取到用户的联系方式,向用户发送诈骗信息,甚至可以可以通过SQL注入来攻击数据库XSS攻击的形成条件: 向前端注入可执行的恶意代码 代码能够被浏览器成功的执行 为了防止XSS攻击,要采取很多措施,非常
CSP 内容安全策略入门
qq_53058639的博客
01-09 731
最近在修复公司系统一个图片导出的功能,无法导出图片。
CSP内容安全策略)怎么配置?
02-07
CSP内容安全策略)可以通过在HTTP响应中设置Content-Security-Policy头来配置。这个头可以包含一系列指令,用来指定浏览器应该如何处理页面中的资源。例如,可以使用default-src指令来指定默认的资源来源,使用script-src指令来限制哪些来源的脚本可以在页面中运行。详细的配置方式可以参考Content-Security-Policy的文档。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值