http content_security_policy

已于 2022-07-14 17:37:36 修改
阅读量457 收藏
点赞数
分类专栏: 应用安全 文章标签: http java 网络协议
于 2020-08-24 19:06:47 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/realmardrid/article/details/108205182
版权

扩展默认情况下对其应用了内容安全策略。默认策略限制了它们可以从中加载<script>和<object>资源的来源,并且禁止使用诸如之类的潜在不安全做法eval()。请参阅默认内容安全性策略以了解有关此含义的更多信息。

您可以使用"content_security_policy"清单密钥来放松或收紧默认策略。该密钥的指定方式与Content-Security-Policy HTTP标头相同。有关CSP语法的一般说明,请参见使用内容安全策略

例如,您可以使用此键执行以下操作:

  • 通过在script-src或object-src指令中提供脚本和对象的URL,允许扩展程序从其程序包外部加载脚本和对象。
  • 通过在script-src指令中提供脚本的哈希值允许扩展程序执行内联脚本。
  • eval()通过包含'unsafe-eval'在script-src指令中,允许扩展使用和类似的功能  。
  • 使用适当的策略指令policy directive(另一篇文章详细介绍),将允许的来源限制为其他类型的内容,例如图像和样式表。

您可以在此处指定政策的限制:

  • 该策略必须至少包含  script-src和  object-src指令,并且该  script-src指令必须包含关键字'self'
  • 远程源必须使用https:方案。
  • 远程源不得在公共后缀列表中的任何域中使用通配符(因此,虽然允许“ * .foo.blogspot.com”,但不允许“ * .co.uk”和“ * .blogspot.com”)。
  • 所有源都必须指定一个主机。
  • 对于源唯一允许方案是:blob:filesystem:moz-extension:,和https:
  • 唯一允许的关键词(default-src指令用作其他CSP fetch指令的后备)是:'none''self',和'unsafe-eval'

有效的例子

允许从“https://example.com”远程脚本:

<span style="color:#333333"><code class="language-json"><span style="color:#990055">"content_security_policy"</span><span style="color:#9a6e3a">:</span> <span style="color:#669900">"script-src 'self' https://example.com; object-src 'self'"</span></code></span>

允许来自“ jquery.com”的任何子域的远程脚本:

<span style="color:#333333"><code class="language-json"><span style="color:#990055">"content_security_policy"</span><span style="color:#9a6e3a">:</span> <span style="color:#669900">"script-src 'self' https://*.jquery.com; object-src 'self'"</span></code></span>

允许的eval() and friends:

<span style="color:#333333"><code class="language-json"><span style="color:#990055">"content_security_policy"</span><span style="color:#9a6e3a">:</span> <span style="color:#669900">"script-src 'self' 'unsafe-eval'; object-src 'self';"</span></code></span>

允许内联脚本"<script>alert('Hello, world.');</script>"

<span style="color:#333333"><code class="language-json"><span style="color:#990055">"content_security_policy"</span><span style="color:#9a6e3a">:</span> <span style="color:#669900">"script-src 'self' 'sha256-qznLcsROx4GACP2dm0UCKCzCG+HiZ1guq6ZZDob/Tng='; object-src 'self'"</span></code></span>

保留其余策略,但还要求将映像与扩展名打包在一起:

<span style="color:#333333"><code class="language-json"><span style="color:#990055">"content_security_policy"</span><span style="color:#9a6e3a">:</span> <span style="color:#669900">"script-src 'self'; object-src 'self'; img-src 'self'"</span></code></span>

要求所有类型的内容都应使用扩展名打包:

<span style="color:#333333"><code class="language-json"><span style="color:#990055">"content_security_policy"</span><span style="color:#9a6e3a">:</span> <span style="color:#669900">"default-src 'self'"</span>
</code></span>

无效的例子

忽略该"object-src"指令的策略:

<span style="color:#333333"><code class="language-json"><span style="color:#990055">"content_security_policy"</span><span style="color:#9a6e3a">:</span> <span style="color:#669900">"script-src 'self' https://*.jquery.com;"</span></code></span>

忽略指令中"self"关键字的策略"script-src"

<span style="color:#333333"><code class="language-json"><span style="color:#990055">"content_security_policy"</span><span style="color:#9a6e3a">:</span> <span style="color:#669900">"script-src https://*.jquery.com; object-src 'self'"</span></code></span>

远程源方案不是https

<span style="color:#333333"><code class="language-json"><span style="color:#990055">"content_security_policy"</span><span style="color:#9a6e3a">:</span> <span style="color:#669900">"script-src 'self' http://code.jquery.com; object-src 'self'"</span></code></span>

通配符与通用域一起使用:

<span style="color:#333333"><code class="language-json"><span style="color:#990055">"content_security_policy"</span><span style="color:#9a6e3a">:</span> <span style="color:#669900">"script-src 'self' https://*.blogspot.com; object-src 'self'"</span></code></span>

源指定一个方案,但没有主机:

<span style="color:#333333"><code class="language-json"><span style="color:#990055">"content_security_policy"</span><span style="color:#9a6e3a">:</span> <span style="color:#669900">"script-src 'self' https:; object-src 'self'"</span></code></span>

指令包含不受支持的关键字'unsafe-inline'

<span style="color:#333333"><code class="language-json"><span style="color:#990055">"content_security_policy"</span><span style="color:#9a6e3a">:</span> <span style="color:#669900">"script-src 'self' 'unsafe-inline'; object-src 'self'"</span></code></span>

1. 注意:有效的示例显示了CSP中密钥的正确使用。但是,由于重大安全问题,addons.mozilla.org上列出的扩展名不允许使用CSP中带有'unsafe-eval','unsafe-inline',远程脚本,blob或远程源的扩展名。

浏览器兼容性

GitHub - mdn/browser-compat-data: This repository contains compatibility data for Web technologies as displayed on MDN

securitysun
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Chrome Plugin静态页面触发CSP如何解决CSP
weixin_42429220的博客
06-03 624
内容安全策略是一种计算机安全标准,旨在防御跨站脚本、点击劫持等代码注入攻击,阻止恶意内容在受信网页环境中执行。Manifest V3 对于内容安全策略有一些默认的设置,如禁止外部代码的执行,这主要是为了增强安全性。如果需要调整默认策略以允许执行更多类型的资源,可以通过修改 manifest.json 中的 content_security_policy 字段实现。
Content-Security-Policy.md
06-05
如何设置meta 标签防止XSS攻击,以及CSP的一些说明, CSP 大大增强了网页的安全性。攻击者即使发现了漏洞,也没法注入脚本,除非还控制了一台列入了白名单...一种是通过 HTTP 头信息的`Content-Security-Policy`的字段。
http内容安全策略Content Security Policy(CSP)
focus on security
08-24 5764
内容安全策略CSP是安全性的附加层,有助于检测和缓解某些类型的攻击,包括跨站点脚本(https://owasp.org/www-community/attacks/xss/)和数据注入攻击。这些攻击可用于从数据盗窃,站点损坏到恶意软件分发的所有方面。 CSP被设计为完全向后兼容(除CSP版本2,其中有在向后兼容性一些明确提到的不一致性)。不支持它的浏览器仍然可以与实现它的服务器一起使用,反之亦然:不支持CSP的浏览器只是忽略它,照常运行,默认为Web内容的标准同源策略。如果站点不提供CSP标头,则浏览器同
HTTP 响应头Content-Security-Policy
focus on security
08-24 9294
HTTP 响应头Content-Security-Policy允许站点管理者控制用户代理能够为指定的页面加载哪些资源。除了少数例外情况,设置的政策主要涉及指定服务器的源和脚本结束点。这将帮助防止跨站脚本攻击(Cross-Site Script)(XSS)。 如需更多信息,请查阅Content Security Policy (CSP)。 禁止修改的消息首部指的是不能在代码中通过编程的方式进行修改的HTTP协议消息首部。本文仅讨论相关的HTTP请求首部(关于禁止修改的响应首部,请参考Forbidd..
Content-Security-Policy —— HTML HTTP的内容安全策略
林中路
07-23 3096
是什么 HTTP 协议的 Content-Security-Policy 响应头允许网站管理员控制用户代理可以为给定页面加载的资源 有什么用 可以防止[[Web安全详解#跨站点脚本攻击]] 语法 Content-Security-Policy: <policy-directive>; <policy-directive> 指令<policy-directive>说明 获取资源型指令 可选来源 <host-source> : 因特网主机的名称或IP地址,以及
关于HTTP中的CSP(Content-Security-Policy)内容安全策略
Wang的专栏
03-08 4780
关于HTTP中的CSP 在HTTP协议中为了使我们的网站足够的安全,经常要用到CSP(Content-Security-Policy)内容安全策略 CSP的作用 限制网站中资源的获取,以及请求发送到哪里 报告资源获取越权 CSP的限制方式 default-src限制全局和链接请求有关的东西 指定资源类型 connect-src manifest-src img-src font-src media-src style-src frame-src script-src 网页上和链接有关的…
Web 安全之内容安全策略详解(Content-Security-Policy,CSP)
乌龙茶不甜的博客
04-27 1万+
1.CSP 简介 内容安全策略(Content Security Policy,简称CSP)是一种以可信白名单作机制,来限制网站是否可以包含某些来源内容,缓解广泛的内容注入漏洞,比如 XSS。 简单来说,就是我们能够规定,我们的网站只接受我们指定的请求资源。默认配置下不允许执行内联代码(2.CSP 使用方式 CSP可以由两种方式指定: HTTP Header 和 HTML。 通过定义在HTTP header 中使用: "Content-Security-Policy:" 策略集 通过定义在 HTML me
koa-csp:用于设置响应头:Content-Security-Policy
02-03
这是Koa2中间件,用于设置响应标头Content-Security-Policy 安装 npm install koa-csp yarn add koa-csp 用法 import Koa from 'koa' ; import csp from 'koa-csp' ; const app = new Koa ( ) ; app . use ( csp ( ...
SPRING_SECURITY
05-31
5. **HTTP安全头**:Spring Security可以自动添加如X-XSS-Protection、Content-Security-PolicyHTTP安全头,增强应用的防护能力。 6. **Remember-Me服务**:Spring Security支持Remember-Me服务,允许用户在一段...
stanford_web_security
04-08
防范XSS攻击的关键在于对用户输入进行验证和过滤,使用HTTP头部安全策略,如Content Security Policy(CSP),以及正确使用编码和解码机制。 三、CSRF(Cross-Site Request Forgery)防护 CSRF攻击利用用户已登录的...
software_security_2021
03-08
为了防止XSS,开发者需要对用户输入进行严格的过滤和转义,使用HTTP头部的Content-Security-Policy(CSP)来限制页面可以执行的脚本来源,以及利用X-XSS-Protection响应头开启浏览器的XSS防护机制。 其次,HTML与...
HTTP响应头未设置‘Content-Security-Policy
weixin_46356409的博客
01-18 2601
HTTP响应头未设置’Content-Security-Policy’时,表示服务器没有为网页设置内容安全策略(Content Security Policy,CSP)。通过设置内容安全策略,可以限制浏览器加载哪些类型的资源,从而提高网站的安全性。网站容易受到XSS攻击:如果没有设置内容安全策略,攻击者可以在网站上注入恶意脚本,从而窃取用户信息、篡改网页内容或进行其他恶意操作。网站性能可能受到影响:如果没有设置内容安全策略,浏览器需要下载和执行所有类型的资源,这可能会导致网站性能下降。
Vue进阶(三十三)Content-Security-Policy(CSP)详解
IT全栈 华强工作室
09-05 6961
跨域脚本攻击(XSS)是最常见、危害最大的网页安全漏洞。XSS 攻击利用了浏览器对于从服务器所获取的内容的信任。恶意脚本在受害者的浏览器中得以运行,因为浏览器信任其内容来源,即使有的时候这些脚本并非来自于它本该来的地方。为了防止它,要采取很多编程措施(比如大多数人都知道的转义、过滤HTML)。很多人提出,能不能根本上解决问题,即浏览器自动禁止外部注入恶意脚本?这就是"内容安全策略"(,缩写CSP)的由来。CSP。
CHROME扩展笔记之拒绝unsafe-eval求值
slongzhang的博客
03-18 1万+
开发插件选项页时由于引用了vue框架开发前端页面,导致拒绝eval求值问题 Uncaught EvalError: Refused to evaluate a string as JavaScript because ‘unsafe-eval’ is not an allowed source of script in the following Content Security Policy directive: “script-src ‘self’ blob: filesystem:”. 这是浏览器自
前端代码 安全配置 Content-Security-Policy(csp)
fred8的博客
01-13 5919
我们vue项目举例 1.找到修改的目标文件 2.添加Content-Security-Policy策略 <meta charset="utf-8" http-equiv="content-security-policy" content="script-src 'self' ; object-src 'none'; style-src 'self' ; "> 3.如果报错的处理 4.根据描述添加新的策略 <meta charset="utf-8" http-equi
Win7离线安装Chrome插件之Postman,报错Ignored insecure CSP value "https://ssl.google-analytics.com/ga.js”
Zack的博客
04-24 3180
前言 由于无法访问google,所以安装chrome的插件很麻烦。项目测试需要用到Postman,这里就记录下Windows 7 下chrome浏览器安装Postman插件的过程。 环境 Windows 7 chrome 过程记录 1、下载插件 打开网址:https://www.crx4chrome.com/category/themes/ 往下拉一点,右侧有搜索框,如下图: ...
Content Security Policy (CSP)内容安全策略
飞翔的熊blabla
08-05 1138
CSP简介 Content Security Policy(CSP),内容(网页)安全策略,为了缓解潜在的跨站脚本问题(XSS攻击),浏览器的扩展程序系统引入了内容安全策略(CSP)这个概念。 CSP 的实质就是白名单制度,开发者明确告诉客户端,哪些外部资源可以加载和执行,等同于提供白名单。它的实现和执行全部由浏览器完成,开发者只需提供配置。 两种方法启用 CSP 一种是通过 HTTP 响应头信息的Content-Security-Policy字段。 一种是通过网页的标签。 <meta h
内容安全策略 Content-Security-Policy
热门推荐
qq_30436011的博客
10-24 3万+
1、限制资源获取:限制网页当中一系列的资源获取的情况,从哪里获取,请求发到哪个地方限制方式:default-src限制全局的和链接有关的作用范围根据资源类型(connect-src、img-src等),限制资源范围2、报告资源获取越权:在网页当中获取了一些我们不应该获取的资源的时候,给服务进行报告,报告资源获取越权,然后做出调整之所以报这个错误,就是我们加了这个头的作用。这个时候 inline脚本还是不能执行的。如果引入外链的脚本文件,则会报错,这样就可限制,只能使用我们本站使用的脚本。
Chrome浏览器扩展插件指南:从MV2迁移到Manifest V3
ljinkai_ljk的专栏
06-04 1万+
Chrome Web Store于2021年1月已经开始接受Manifest V3扩展的提交。如果你还在使用MV2版本,那么一定要在官方弃用之前,尽快更新到MV3版本。Chrome浏览器从88版本开始支持MV3啦(即Manifest Version 3),目前查看官方文档时默认已经是MV3版本。我们这篇文章主要了解3个问题1、MV2的弃用时间表2、了解MV3的新特性3、如...
add_header Content-Security-Policy-Options
最新发布
06-06
`Content-Security-Policy-Options` (CSP-OPTIONS) 是一个 HTTP 首部字段,用于在客户端发起实际的 `Content-Security-Policy` 请求之前,预先检查服务器上 CSP 的配置。这个选项允许浏览器在执行 CSP 之前发送一个...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值