内容安全策略-CSP

已于 2022-03-23 10:37:14 修改
阅读量781 收藏 3
点赞数
分类专栏: 计算机网络 文章标签: 内容安全策略-CSP
于 2021-06-11 17:59:32 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sycamorelg/article/details/112007048
版权

文章目录

内容安全策略(CSP)是一个额外的安全层,用于检测并削弱某些特定类型的攻击,包括跨站脚本 (XSS) 和数据包嗅探攻击等。
网站维护者使用CSP去定义一些内容来源的规则,然后通过某种方式将这些规则告诉浏览器,浏览器根据这些规则来判定哪些来源的内容是安全的,可以使用的。

一、如何定义CSP

1、使用 元素配置该策略

<meta http-equiv="Content-Security-Policy" content="default-src 'self'; img-src https://*; child-src 'none';">

2、通过返回 Content-Security-Policy 这个 HTTP Header 即可,这个 Header 对应的值就是我们 web 内容来源的规则。旧版本中是X-Content-Security-Policy

二、CSP可防御的攻击

2.1、跨站脚本攻击-XSS
CSP 的主要目标是减少 XSS 攻击。

CSP通过指定有效域——即浏览器认可的可执行脚本的有效来源——使服务器管理者有能力减少或消除XSS攻击所依赖的载体。一个CSP兼容的浏览器将会仅执行从白名单域获取到的脚本文件,忽略所有的其他脚本 (包括内联脚本和HTML的事件处理属性)。

2.2、数据包嗅探攻击
除限制可以加载内容的域,服务器还可指明哪种协议允许使用;比如 (从理想化的安全角度来说),服务器可指定所有内容必须通过HTTPS加载。一个完整的数据安全传输策略不仅强制使用HTTPS进行数据传输,也为所有的cookie标记安全标识 cookies with the secure flag,并且提供自动的重定向使得HTTP页面导向HTTPS版本。网站也可以使用 Strict-Transport-Security HTTP头部确保连接它的浏览器只使用加密通道。

三、如何使用 CSP

配置内容安全策略涉及到添加 Content-Security-Policy HTTP头部到一个页面,并配置相应的值,以控制用户代理(浏览器等)可以为该页面获取哪些资源。

你以使用 Content-Security-Policy HTTP头部来指定策略,像这样:

Content-Security-Policy: policy

policy参数是一个包含了各种描述CSP策略指令的字符串。

描述策略:
一个策略由一系列策略指令所组成,每个策略指令都描述了一个针对某个特定类型资源以及生效范围的策略。你的策略应当包含一个default-src策略指令,在其他资源类型没有符合自己的策略时应用该策略,策略可以包含default-src,或者 script-src (en-US) 指令来防止内联脚本运行,,并杜绝eval()的使用;也可包含一个 default-src 或 style-src (en-US) 指令去限制来自一个 

常见指令:
script-src:这个指令规定了网站中可执行脚本的来源,同时也控制了 XSLT 的来源;
style-src:定义了样式文件的来源;
media-src:规定了富媒体(音视频、视频文本轨格式)资源的来源;
child-src:规定了像 worker 、frame 这种嵌入可使用的链接;
font-src:规定了字体的来源,如果在网页中使用了第三方字体可以使用这个指令;
img-src:规定了网站中的图片的来源;
form-action:规定了网页中的 form 元素 action 的可提交地址;
connect-src:规定了脚本中发起连接的地址,像 XMLHttpRequest 的 send 方法、WebSocket 连接地址、EventSource 等;
frame-src:这个指令规定了 frame 的可使用链接。在 CSP level 2 中废弃了,文档中叫我们用 child-src 来代替这个指令,但在 level 3 中恢复使用;
object-src:规定了一些插件的来源,像 Flash 等;
report-uri:这个指令是指定一个 CSP 上报地址,当浏览器检测到有不通过指令时,将通过这个指定地址进行上报。值得注意的是,这个指令不能在 meta 元素中使用,并且在 CSP level3 中这个指令会被废弃,用 report-to 来代替,为了保证这个指令有效,官方推荐 report-uri & report-to 同时使用;
worker-src:这个指令是 CSP level3 中加的,规定了 Worker、SharedWorker、serviceWorker 中可用的地址;
base-uri:规定了页面 base 标签中的链接;
frame-ancestors:规定了当前的页面可以被哪些来源所嵌入。作用于 <frame>, <iframe>, <embed>, <applet>。该指令不能通过 <meta>指定且只对非 HTML 文档类型的资源生效;

四、常见用例

4.1、示例 1
一个网站管理者想要所有内容均来自站点的同一个源 (不包括其子域名)

Content-Security-Policy: default-src 'self'

4.2、示例 2
一个网站管理者允许内容来自信任的域名及其子域名 (域名不必须与CSP设置所在的域名相同)

Content-Security-Policy: default-src 'self' *.trusted.com

4.3、示例 3
一个网站管理者允许网页应用的用户在他们自己的内容中包含来自任何源的图片, 但是限制音频或视频需从信任的资源提供者(获得),所有脚本必须从特定主机服务器获取可信的代码.

Content-Security-Policy: default-src 'self'; img-src *; media-src media1.com media2.com; script-src userscripts.example.com

4.4、示例 4
一个线上银行网站的管理者想要确保网站的所有内容都要通过SSL方式获取,以避免攻击者窃听用户发出的请求。

Content-Security-Policy: default-src https://onlinebanking.jumbobank.com

该服务器仅允许通过HTTPS方式并仅从onlinebanking.jumbobank.com域名来访问文档。

4.5、示例 5
一个在线邮箱的管理者想要允许在邮件里包含HTML,同样图片允许从任何地方加载,但不允许JavaScript或者其他潜在的危险内容(从任意位置加载)。

Content-Security-Policy: default-src 'self' *.mailsite.com; img-src *

注意这个示例并未指定script-src (en-US)。在此CSP示例中,站点通过 default-src 指令对其进行配置,这同样意味着脚本文件仅允许从原始服务器获取。

参考:https://developer.mozilla.org/zh-CN/docs/web/http/csp

七天啊
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
HTML5安全介绍之内容安全策略CSP)简介
01-19
万维网的安全策略植根于同源策略。例如www.jb51.net的代码只能访问www.jb51.net的数据,而没有访问http://www.baidu.com的权限。每个来源都与网络的其它部分分隔开,为开发人员构建了一个安全的沙箱。理论上这是完美的,但是现在攻击者已经找到了聪明的方式来破坏这个系统。        这就是XSS跨站脚本攻击,通过虚假内容和诱骗点击来绕过同源策略。这是一个很大的问题,如果攻击者成功注入代码,有相当多的用户数据会被泄漏。        现在我们介绍一个全新的、有效的安全防御策略来减轻这种风险,这就是内容安全策略(ContentSecurity Policy,CSP)。
express-csp:内容安全策略的快速扩展
05-22
快速csp 用法 这是一个Express扩展,它使您可以为Express Application设置 。 原料药 延长 var csp = require ( 'express-csp' ) ; var app = express ( ) ; csp . extend ( app , { policy : { directives : { ...
【浏览器安全机制】一文带你了解内容安全策略CSP)及沙箱环境
等风来
08-25 6549
以上为浏览器安全机制之内容安全策略CSP)及沙箱环境详析,内容安全策略CSP)和沙箱环境在Web应用程序和浏览器内提供了额外的安全层,有助于防止恶意攻击和数据泄露,读者可深入学习。我是秋说,我们下次见。
XSS防御 内容安全策略 CSP工作原理、配置技巧与最佳实践_安全策略 img-src
最新发布
2401_83739951的博客
04-12 857
定义了通过脚本 (例如 Fetch API, XMLHttpRequest 或 WebSockets) 连接的源。⚠️ 由于CSP机制会拒绝白名单内的资源,这个行为对于稳定运行的线上项目其实是比较危险的。CSP策略是设置了许多内容源的字符串,内容源可以对协议、主机host、关键词等等。开发者可以通过下面的手段通知浏览器那些资源是安全的,可加载执行的;:定义哪些源的样式可以被安全地加载和应用。: 定义了哪些源的脚本可以被安全地执行。:指定了哪些源的字体可以被安全地加载。:指定了,,和元素能够加载资源的源。
Spring Security配置内容安全策略
Nicky's blog
05-27 5413
内容安全策略:Content Security Policy,简称CSP内容安全策略是一种安全机制,开发着可以通过HTTP 响应标头,可显著减少现代浏览器中的 XSS、Clickjacking 等代码注入攻击。CSP通过W3C WebApplication Security Working Group发布标准
无法播放Blob视频文件问题
weixin_43589827的博客
11-17 4789
blob视频文件无法播放问题
手把手教你CSP系列之style-src
菜鸟路上的小白
08-05 1239
HTTP Content-Security-Policy(CSP)style-src指令为样式表的源指定有效来源。
http内容安全策略Content Security Policy(CSP)
focus on security
08-24 5514
内容安全策略CSP是安全性的附加层,有助于检测和缓解某些类型的攻击,包括跨站点脚本(https://owasp.org/www-community/attacks/xss/)和数据注入攻击。这些攻击可用于从数据盗窃,站点损坏到恶意软件分发的所有方面。 CSP被设计为完全向后兼容(除CSP版本2,其中有在向后兼容性一些明确提到的不一致性)。不支持它的浏览器仍然可以与实现它的服务器一起使用,反之亦然:不支持CSP的浏览器只是忽略它,照常运行,默认为Web内容的标准同源策略。如果站点不提供CSP标头,则浏览器同
express-csp-header:Express的内容安全策略中间件
03-20
Express的内容安全策略中间件 用法 const { expressCspHeader , INLINE , NONE , SELF } = require ( 'express-csp-header' ) ; app . use ( expressCspHeader ( { directives : { 'default-src' : [ SELF ] , '...
webappsec-csp:WebAppSec内容安全策略
05-11
内容安全政策在index.bs中指定了CSP 3(发布在 ) CSP 2作为CR发布在。 CSP 1作为注释发布在
CSP内容安全策略
dzqxwzoe的博客
01-09 1444
内容安全策略 (CSP是一个附加的安全层,有助于检测和缓解某些类型的攻击,包括跨站点脚本(XSS)和数据注入攻击。这些攻击用于从数据窃取到网站污损或恶意软件分发的所有事情。
内容安全策略 (CSP)
allway2的博客
09-05 5787
base64, iVBORw0KGgoAAAANSUhEUgAAAAUA%0A AAAFCAYAAACNbyblAAAAHElEQVQI12P4//8/w38GIAXDIBKE0DHxgljNBAAO%0A 9TXL0Y4OHwAAAABJRU5ErkJggg==',因为它违反了以下内容安全策略指令:“default-src.'none 请注意,'img-src' 没有显式设置,所以 'default-src' 用作后备。,因为它违反了以下内容安全策略指令:“default-src 'none'”。
Tomcat服务器配置X-Content-Type-Options、X-XSS-Protection、Content-Security-Policy、X-Frame-Options
热门推荐
时光有伱,记忆成花~
03-08 3万+
Tomcat目录下,配置请求头 打开tomcat/conf/web.xml,增加如下配置(交流群:700637673) <filter> <filter-name>httpHeaderSecurity</filter-name> <filter-class>org.apache.catal...
内容安全策略 Content-Security-Policy
qq_30436011的博客
10-24 3万+
1、限制资源获取:限制网页当中一系列的资源获取的情况,从哪里获取,请求发到哪个地方限制方式:default-src限制全局的和链接有关的作用范围根据资源类型(connect-src、img-src等),限制资源范围2、报告资源获取越权:在网页当中获取了一些我们不应该获取的资源的时候,给服务进行报告,报告资源获取越权,然后做出调整之所以报这个错误,就是我们加了这个头的作用。这个时候 inline脚本还是不能执行的。如果引入外链的脚本文件,则会报错,这样就可限制,只能使用我们本站使用的脚本。
CSP防御
阳水平的博客
04-04 883
转载:https://developer.mozilla.org/zh-CN/docs/Web/HTTP/CSP 内容安全策略 (CSP) 是一个额外的安全层,用于检测并削弱某些特定类型的攻击,包括跨站脚本 (XSS) 和数据注入攻击等。无论是数据盗取、网站内容污染还是散发恶意软件,这些攻击都是主要的手段。 CSP 被设计成完全向后兼容(除CSP2 在向后兼容有明确提及的不一致; 更多细节查...
CSP浅析与绕过
dzqxwzoe的博客
01-09 1689
CSP(Content Security Policy,内容安全策略),是网页应用中常见的一种安全保护机制,它实质就是白名单制度,开发者明确告诉客户端,哪些外部资源可以加载和执行,哪些不可以。
Web 安全之内容安全策略 (CSP)
weixin_34356138的博客
12-24 390
内容安全策略 (CSP, Content Security Policy) 是一个附加的安全层,用于帮助检测和缓解某些类型的攻击,包括跨站脚本攻击 (XSS) 和数据注入等攻击。 这些攻击可用于实现从数据窃取到网站破坏或作为恶意软件分发版本等用途。内容安全策略在现代浏览器中已经包含,使用的是 W3C CSP 1.0 标准中描述的 Con...
HTML5 Web Worker的使用
weixin_30551963的博客
09-20 556
Web Workers 是 HTML5 提供的一个javascript多线程解决方案,我们可以将一些大计算量的代码交由web Worker运行而不冻结用户界面。 一:如何使用Worker Web Worker的基本原理就是在当前javascript的主线程中,使用Worker类加载一个javascript文件来开辟一个新的线程,起到互不阻塞执行的效果,并且提供主线程和新线程之间数据交换的接口:...
内容安全策略( CSP )
加载中的博客
06-14 1178
内容安全策略   (CSP) 是一个额外的安全层,用于检测并削弱某些特定类型的攻击,包括跨站脚本 (XSS) 和数据注入攻击等。无论是数据盗取、网站内容污染还是散发恶意软件,这些攻击都是主要的手段。内容源大多数策略指令需要一个或多个内容源。内容源是一串表明内容可能从哪里加载的字符串。源列表源列表是一个字符串,指定了一个或多个互联网主机(通过主机名或 IP 地址),和可选的 URL 协议和/或端口号...
内容安全策略CSP),防御 XSS 攻击的好助手
06-08
内容安全策略CSP)是一种安全机制,可以减少和防止跨站脚本攻击(XSS)的发生。CSP 允许网站管理员指定浏览器只从特定来源加载资源,防止恶意脚本被加载并执行。此外,CSP 还可以限制页面中可以执行的代码类型和...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

七天啊

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值