http内容安全策略Content Security Policy(CSP)

已于 2022-09-28 09:35:43 修改
阅读量5.7k 收藏
点赞数 1
分类专栏: 安全 文章标签: 工控安全 安全 企业安全
于 2020-08-24 19:19:56 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/realmardrid/article/details/108205602
版权

内容安全策略CSP是安全性的附加层,有助于检测和缓解某些类型的攻击,包括跨站点脚本(Cross Site Scripting (XSS) Software Attack | OWASP Foundation)和数据注入攻击。这些攻击可用于从数据盗窃,站点损坏到恶意软件分发的所有方面。

 

CSP被设计为完全向后兼容(除CSP版本2,其中有在向后兼容性一些明确提到的不一致性)。

不支持它的浏览器仍然可以与实现它的服务器一起使用,反之亦然。

不支持CSP的浏览器只是忽略它,照常运行,默认为Web内容的标准同源策略。

如果站点不提供CSP标头,则浏览器同样会使用标准同源策略。

启用CSP需要配置Web服务器以返回Content-Security-PolicyHTTP标头。

或者<meta>元素可用于配置策略,例如:

<meta http-equiv="Content-Security-Policy" content="default-src 'self'; img-src https://*; child-src 'none';">

威胁缓解跨站点脚本

CSP的主要目标是减轻XSS攻击。

XSS攻击利用浏览器对服务器接收的内容的信任机制。

恶意脚本由受害人的浏览器执行,因为浏览器信任内容的来源。

与CSP兼容的浏览器将仅执行从那些允许列出的域接收的源文件中加载的脚本,而忽略所有其他脚本(包括内联脚本和事件处理HTML属性)。

如果不想让脚本执行的站点可以选择全局禁止脚本执行。

缓解数据包嗅探攻击

除了限制可以加载内容的域之外,服务器还可以指定允许使用哪些协议。

服务器可以指定必须使用HTTPS加载所有内容。

完整的数据传输安全策略不仅包括强制HTTPS进行数据传输,包括使用secure属性标记所有cookie并提供从HTTP页面到其HTTPS副本的自动重定向。

站点还可以使用Strict-Transport-SecurityHTTP标头来确保浏览器仅通过加密通道连接到它们

使用CSP

配置内容安全策略涉及将Content-Security-PolicyHTTP标头添加到网页,并为其提供值以控制允许用户代理为该页面加载哪些资源。

例如,上传和显示图像的页面可以允许任何位置的图像,但是将表单操作限制为特定的端点。

正确设计的内容安全策略有助于保护页面免受跨站点脚本攻击。

本文介绍了如何正确构造此类标头,并提供了示例。

您可以使用Content-Security-PolicyHTTP标头指定策略,如下所示:

<span style="color:#333333">Content-Security-Policy: <em>policy</em></span>

该策略是一个字符串,其中包含描述的内容安全策略的策略指令。

撰写政策

使用一系列策略指令来描述策略,每个策略指令都描述特定资源类型或策略区域的策略。

策略应包含一个default-src策略指令,当其他资源类型没有自己的策略时,该指令将作为备用资源(default-src指令说明)。

策略需要包含default-src或script-src指令,以防止运行内联脚本以及阻止使用eval()

策略需要包含default-src或style-src指令,以限制从<script>元素或元素中应用内联样式。

style属性。有针对各种项目类型的特定指令,因此每种类型都可以有自己的策略,包括字体,框架,图像,音频和视频媒体,脚本和工作程序。

示例:常见用例

本节提供了一些常见安全策略方案的示例。

所有内容都来自网站本身的来源(不包括子域)。

<span style="color:#333333">Content-Security-Policy: default-src 'self'</span>

允许来自受信任域及其所有子域的内容(不必与设置CSP的域相同)。

<span style="color:#333333">Content-Security-Policy: default-src 'self' *.trusted.com</span>

例子3

允许Web应用程序的用户在其自己的内容中包括来自任何来源的图像,

但将音频或视频媒体限制为受信任的提供程序,并且将所有脚本限制为承载托管代码的特定服务器。

<span style="color:#333333">Content-Security-Policy: default-src 'self'; img-src *; media-src media1.com media2.com; script-src userscripts.example.com</span>

此处,默认情况下,仅允许从文档的原始内容开始,但以下情况除外:

  • 图片可以从任何位置加载(请注意,“ *”通配符)。
  • 仅允许来自media1.com和media2.com的媒体(不允许来自这些站点的子域)。
  • 可执行脚本只允许来自userscripts.example.com。

例子4

在线银行网站的网站管理员希望确保使用TLS加载其所有内容,以防止攻击者窃听请求。

<span style="color:#333333">Content-Security-Policy: default-src https://onlinebanking.jumbobank.com</span>

该服务器仅允许访问通过单一来源onlinebanking.jumbobank.com通过HTTPS专门加载的文档。

例子5

网站站点的网站管理员希望允许电子邮件中的HTML以及从任何地方加载的图像,但不允许JavaScript或其他潜在危险的内容。

<span style="color:#333333">Content-Security-Policy: default-src 'self' *.mailsite.com; img-src *</span>

此示例未指定script-src,对于示例CSP,该站点使用default-src伪指令指定的设置,这意味着只能从原始服务器加载脚本。

测试policy

为了简化部署,可以以仅报告模式部署CSP。该策略未强制执行,但是任何违规都会报告给提供的URI。

此外,仅报告头可用于测试策略的将来修订版本,而无需实际部署它。

可以使用Content-Security-Policy-Report-OnlyHTTP标头指定策略,如下所示:

<span style="color:#333333">Content-Security-Policy-Report-Only: <em>policy</em> </span>

如果一个Content-Security-Policy-Report-Only标头和一个Content-Security-Policy标头都出现在同一响应中,则将遵循这两个策略。

Content-Security-Policy标头中指定的策略在Content-Security-Policy-Report-Only生成报告时强制执行,但不强制执行。

启用report

默认情况下,不发送违规报告。要启用违规报告,您需要指定report-uri(另一篇)策略指令,并至少提供一个将报告发送到的URI:

<span style="color:#333333">Content-Security-Policy: default-src 'self'; report-uri http://reportcollector.example.com/collector.cgi</span>

然后,您需要设置服务器以接收报告。它可以按照您认为合适的任何方式存储或处理它们。

违规report语法

报告JSON对象包含以下数据:

blocked-uri

内容安全策略阻止加载的资源的URI。如果被阻止的URI与的来源不同document-uri,则被阻止的URI将被截断以仅包含方案,主机和端口。

disposition

任一"enforce""report"取决于是否Content-Security-Policy-Report-Only报头或Content-Security-Policy报头被使用。

document-uri

发生违规的文档的URI。

effective-directive

其执行导致违规的指令。

original-policy

Content-Security-PolicyHTTP标头指定的原始策略。

referrer

发生违规的文档的引荐来源。

script-sample

内联脚本,事件处理程序或样式中引起冲突的前40个字符。

status-code

实例化全局对象的资源的HTTP状态代码。

violated-directive

违反的策略部分的名称。

违规report

位于的页面http://example.com/signup.html,使用以下策略,除了中的样式表之外,不允许使用其他任何内容cdn.example.com

<span style="color:#333333">Content-Security-Policy: default-src 'none'; style-src cdn.example.com; report-uri /_/csp-reports</span>

HTML signup.html如下所示:

<span style="color:#333333"><code class="language-html"><span style="color:#708090"><!DOCTYPE html></span>
<span style="color:#990055"><span style="color:#990055"><span style="color:#999999"><</span>html</span><span style="color:#999999">></span></span>
  <span style="color:#990055"><span style="color:#990055"><span style="color:#999999"><</span>head</span><span style="color:#999999">></span></span>
    <span style="color:#990055"><span style="color:#990055"><span style="color:#999999"><</span>title</span><span style="color:#999999">></span></span>Sign Up<span style="color:#990055"><span style="color:#990055"><span style="color:#999999"></</span>title</span><span style="color:#999999">></span></span>
    <span style="color:#990055"><span style="color:#990055"><span style="color:#999999"><</span>link</span> <span style="color:#669900">rel</span><span style="color:#0077aa"><span style="color:#999999">=</span><span style="color:#999999">"</span>stylesheet<span style="color:#999999">"</span></span> <span style="color:#669900">href</span><span style="color:#0077aa"><span style="color:#999999">=</span><span style="color:#999999">"</span>css/style.css<span style="color:#999999">"</span></span><span style="color:#999999">></span></span>
  <span style="color:#990055"><span style="color:#990055"><span style="color:#999999"></</span>head</span><span style="color:#999999">></span></span>
  <span style="color:#990055"><span style="color:#990055"><span style="color:#999999"><</span>body</span><span style="color:#999999">></span></span>
    ... Content ...
  <span style="color:#990055"><span style="color:#990055"><span style="color:#999999"></</span>body</span><span style="color:#999999">></span></span>
<span style="color:#990055"><span style="color:#990055"><span style="color:#999999"></</span>html</span><span style="color:#999999">></span></span></code></span>

样式表仅允许从加载cdn.example.com,而网站尝试从其自身的原点(http://example.com)加载样式表。

能够执行CSP的浏览器将在http://example.com/_/csp-reports访问文档时将以下违规报告作为POST请求发送给:

<span style="color:#333333"><code class="language-html">{
  "csp-report": {
    "document-uri": "http://example.com/signup.html",
    "referrer": "",
    "blocked-uri": "http://example.com/css/style.css",
    "violated-directive": "style-src cdn.example.com",
    "original-policy": "default-src 'none'; style-src cdn.example.com; report-uri /_/csp-reports"
  }
}</code></span>

该报告在中包含违规资源的完整路径blocked-uri

这并非总是如此。例如,如果signup.html尝试从中加载CSS http://anothercdn.example.com/stylesheet.css,则浏览器将包括完整路径,而仅包括源(http://anothercdn.example.com)。

CSP规范对这种奇怪的行为进行了解释(Content Security Policy Level 3)。

这样做是为了防止泄漏有关跨域资源的敏感信息。

浏览器兼容性

securitysun
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Content Security Policy
qq_38344321的博客
09-03 4877
Content Security Policy内容安全策略,简称csp)用于检测并阻止网页加载非法资源的安全策略,可以减轻xss攻击带来的危害和数据注入等攻击。本文讲述的内容主要有如何使用csp和业务接入csp流程这两部分。 简介 csp主要工作是定义一套页面资源加载白名单规则,浏览器使用csp规则去匹配所有资源,禁止加载不符合规则的资源,同时将非法资源请求进行上报。 csp作用:减轻网页被xss攻击后所受到的危害。实际上csp是在xss攻击发生后才起作用,阻止请求注入的非法资源,csp并不是直接阻止xs
Web 安全内容安全策略Content-Security-Policy,CSP配置问题
热门推荐
baiyongliang
05-23 3万+
简单的配置方式:Content-Security-Policy,X-Frame-Options头设置”警告的过滤器 1.CSP 简介 内容安全策略Content Security Policy,简称CSP)是一种以可信白名单作机制,来限制网站是否可以包含某些来源内容,缓解广泛的内容注入漏洞,比如 XSS。 简单来说,就是我们能够规定,我们的网站只接受我们指定的请求资源。默认配置下不允许执行...
漏洞修复:检测到目标Content-Security-Policy响应头缺失
最新发布
yjfkeifk的博客
07-01 610
对于 IIS,请参阅:https://technet.microsoft.com/pl-pl/library/cc753133%28v=ws.10%29.aspx。对于 nginx,请参阅:http://nginx.org/en/docs/http/ngx_http_headers_module.html。对于 Apache,请参阅:http://httpd.apache.org/docs/2.2/mod/mod_headers.html。名称:Content-Security-Policy
Content-Security-Policy —— HTML HTTP内容安全策略
林中路
07-23 3092
是什么 HTTP 协议的 Content-Security-Policy 响应头允许网站管理员控制用户代理可以为给定页面加载的资源 有什么用 可以防止[[Web安全详解#跨站点脚本攻击]] 语法 Content-Security-Policy: <policy-directive>; <policy-directive> 指令<policy-directive>说明 获取资源型指令 可选来源 <host-source> : 因特网主机的名称或IP地址,以及
http content_security_policy
focus on security
08-24 456
扩展默认情况下对其应用了内容安全策略。默认策略限制了它们可以从中加载<script>和<object>资源的来源,并且禁止使用诸如之类的潜在不安全做法eval()。请参阅默认内容安全性策略以了解有关此含义的更多信息。 您可以使用"content_security_policy"清单密钥来放松或收紧默认策略。该密钥的指定方式与Content-Security-Policy HTTP标头相同。有关CSP语法的一般说明,请参见使用内容安全策略。 例如,您可以使用此键执行以下操作: ..
HTML5安全介绍之内容安全策略CSP)简介
01-19
万维网的安全策略植根于同源策略。例如www.jb51.net的代码只能访问www.jb51.net的数据,而没有... 现在我们介绍一个全新的、有效的安全防御策略来减轻这种风险,这就是内容安全策略ContentSecurity PolicyCSP)。
CSPContent Security Policy)是一种用于增强 Web 应用程序安全性的安全标头.docx
04-01
CSP,即内容安全策略(Content Security Policy),是一种安全策略机制,通过在HTTP响应头部定义一系列指令,指导浏览器仅加载符合策略规则的资源,进而有效抵御XSS(跨站脚本攻击)、数据注入等常见Web安全威胁。...
laravel-csp:在Laravel应用中设置内容安全策略标头
02-02
在Laravel应用中设置内容安全策略标头 默认情况下,允许网页上的所有脚本将数据发送和获取数据到他们想要的任何站点。 这可能是一个安全问题。 想象一下,您JavaScript依赖项之一将所有按键(包括密码)发送到第三方...
CSP内容安全策略详解.zip
03-31
**内容安全策略Content Security Policy, CSP)**是现代Web应用程序中一种重要的安全特性,用于防御跨站脚本(XSS)攻击和其他恶意代码注入。它允许网站管理员通过定义一个策略来控制页面可以加载哪些资源,如脚本...
Content-Security-Policy
GalaxySpaceX的博客
09-12 430
Content-Security-Policy
HTTP 响应头Content-Security-Policy
focus on security
08-24 9283
HTTP 响应头Content-Security-Policy允许站点管理者控制用户代理能够为指定的页面加载哪些资源。除了少数例外情况,设置的政策主要涉及指定服务器的源和脚本结束点。这将帮助防止跨站脚本攻击(Cross-Site Script)(XSS)。 如需更多信息,请查阅Content Security Policy (CSP)。 禁止修改的消息首部指的是不能在代码中通过编程的方式进行修改的HTTP协议消息首部。本文仅讨论相关的HTTP请求首部(关于禁止修改的响应首部,请参考Forbidd..
【网络安全Content Security Policy (CSP) 介绍
qq_43842093的博客
06-03 1908
内容安全策略 (CSP) 是一个额外的安全层,用于检测并削弱某些特定类型的攻击,包括跨站脚本 (XSS) 和数据注入攻击等。无论是数据盗取、网站内容污染还是散发恶意软件,这些攻击都是主要的手段。
Content Security Policy (CSP) 介绍
hyun134340的博客
01-07 398
这种平时常见的写法,也属于内联的脚本,是需要改造的。还有种特殊的指令 default-src,如果指定了它的值,则相当于改变了这些指定的指令的默认值。可以理解为,上面 img-src 如果没指定,本来其默认值是 *,可以加载所有来源的图片,但设置 default-src 后,默认值就成了 default-src 指定的值。CSP 提供了一种报告模式,该模式下资源不会真的被限制加载,只会对检测到的问题进行上报 ,以 JSON 数据的形式发送到 report-uri 指定的地方。
保护网页免受点击劫持的Content Security PolicyCSP
weixin_42560424的博客
06-27 540
84. 保护网页免受点击劫持的Content Security PolicyCSP) 什么是点击劫持? 点击劫持(Clickjacking)是一种网络安全攻击技术,通过在一个网页上放置透明的或误导性的内容,诱使用户在不知情的情况下点击恶意操作。这种攻击技术可以欺骗用户并执行他们不想执行的操作,如点击隐藏的按钮或链接,可能导致敏感信息泄露、支付信息被篡改等风险。 Content Security PolicyCSP)的作用 Content Security PolicyCSP)是一种用于增强网页安全性的
WEB应用内容安全策略(Content Security Policy)
A_991128a的博客
01-15 2896
它通过让开发者对自己WEB应用声明一个外部资源加载的白名单,使得客户端在运行WEB应用时对外部资源的加载做出筛选和识别,只加载被允许的网站资源.对于不被允许的网站资源不予加载和执行.同时,还可以将WEB应用中出现的不被允许的资源链接和详情报告给我们指定的网址.如此,大大增强了WEB应用的安全性.使得攻击者即使发现了漏洞,也没法注入脚本,除非还控制了一台列入了白名单的服务器.使用这种模式,将会直接阻止非法的外部资源加载,同时也可以选择是否配置将非法资源加载的链接和行为报告给我们指定的网址。
什么是 Content Security Policy
weixin_42156055的博客
10-12 318
什么是Content Security Policycsp是一种白名单制度,他告诉浏览器信任哪些域名下的资源,哪些可以执行,哪些不可以执行 可以在一定程度上防御XSS 开启方式 配置HTTP头信息 Content Security Policy 使用html meta标签 <meta http-equiv="Content-Security-Policy" content="script-src 'self'; object-src 'none'; style-src.
Content Security Policy (CSP)内容安全策略
飞翔的熊blabla
08-05 1137
CSP简介 Content Security Policy(CSP),内容(网页)安全策略,为了缓解潜在的跨站脚本问题(XSS攻击),浏览器的扩展程序系统引入了内容安全策略CSP)这个概念。 CSP 的实质就是白名单制度,开发者明确告诉客户端,哪些外部资源可以加载和执行,等同于提供白名单。它的实现和执行全部由浏览器完成,开发者只需提供配置。 两种方法启用 CSP 一种是通过 HTTP 响应头信息的Content-Security-Policy字段。 一种是通过网页的标签。 <meta h
Content Security Policy (CSP) Not Implemented
04-25
Content Security Policy (CSP)是一种用于增强网页安全性的安全策略。它通过限制网页中可以加载和执行的资源来减少跨站点脚本攻击(XSS)和数据注入攻击等安全风险。CSP规定了哪些资源可以被加载,以及如何处理不符合规定的资源。 当浏览器检测到网页中存在CSP策略时,它会根据策略的要求来限制资源的加载和执行。如果网页中的某些资源不符合CSP策略的要求,浏览器会阻止这些资源的加载或执行,*** Policy。这意味着该网页没有设置CSP策略,或者设置的策略无效。在这种情况下,浏览器将不会对资源加载和执行进行任何限制,可能会增加网页受到攻击的风险。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值