CSP(内容安全策略)防运营商劫持

最新推荐文章于 2024-08-08 16:55:45 发布
最新推荐文章于 2024-08-08 16:55:45 发布
阅读量3.6k 收藏
点赞数
分类专栏: 前端安全 ECMAScript
原文链接:https://juejin.im/post/5bdbe90c51882516de76a422
版权

(一)前言
CSP英文全称Content Security Policy,中文意思是 内容安全策略
CSP以白名单的机制对网站加载或执行的资源起作用,在网页中,这样的策略通过 HTTP 头信息或者 meta 元素定义。用于检测并削弱某些特定类型的攻击,包括跨站脚本 (XSS) 和数据注入攻击等。无论是数据盗取、网站内容污染还是散发恶意软件。

(二)CSP的应用
可以分为前端和后端配置

  1. 前端配置
    在 HTML 的 Head 中添加 Meta 标签
<meta http-equiv="Content-Security-Policy" content="script-src 'nonce-shendun' zeptojs.com; object-src 'none';">

<!DOCTYPE html>
<html>
<head>
  <script>
    console.log('发生劫持,初始化就直接置顶的流氓行为,CSP也无法防御,但可以通过埋点记录LOG,通知工信部处理!!');
  </script>
  <meta charset="utf-8" />
  <meta http-equiv="Content-Security-Policy" content="script-src 'nonce-shendun' zeptojs.com; object-src 'none';">
  <title>CSP测试</title>
  <script>
    console.log('来劫持你了.... 但被阻止了,未能发生有效劫持!');
  </script
  <!-- 安全标签 -->
  <script nonce=shendun>
    console.log('设置了nonce,其值与受信任来源列表中的值相匹配 ,此处有效!!');
  </script>
</head>
<body>
  <div>CSP测试</div>
  <!-- zeptojs.com 加入了白名单 -->
  <script src="http://zeptojs.com/zepto.min.js"></script>
  <!-- 未加入白名单,被拦截 -->
  <script src="https://mt.cnzz.com/js/hdpi_canvas.js"></script>
</body>
</html>

这种方式除了 头部的注入型劫持未被拦截以外 ,其他 script 劫持均被拦截。需要特别注意的是这段代码中的 nonce-shendun ,这里可以理解为 script 的安全属性,nonce- 是CSP提供的参数,shendun 这个名字是自定义的(官方推荐这里填随机数)。

  1. 后端配置
    以 Nginx 为例,配置 Sever 文件,添加如下代码:
server {
    ...
    add_header Content-Security-Policy "default-src *; script-src 'self' 'nonce-shendun' baidu.com *.baidu.com;";
    ...

源列表中也接受了四个关键字:

‘none’ 你可能会期望,什么也没有。
‘self’ 匹配当前来源,但不匹配其子域。
‘unsafe-inline’ 允许内联JavaScript和CSS (很多劫持是script直接注入,所以这里不推荐这么配置)
‘unsafe-eval’ 允许文本到JavaScript的机制eval。

API链接导航

(三)总结
CSP不是万能的,但是如果搭配script、iframe注入型防运营商劫持,可以为网站增加更多防护。

至于XSS攻击,可以参考下面文章
前端安全系列(一):如何防止XSS攻击

Justin0223
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
HTML5安全介绍之内容安全策略CSP)简介
01-19
万维网的安全策略植根于同源策略。...每个来源都与网络的其它部分分隔开,为开发人员构建了一个... 现在我们介绍一个全新的、有效的安全御策略来减轻这种风险,这就是内容安全策略(ContentSecurity Policy,CSP)。
什么是 CSP
weixin_49733248的博客
08-31 8416
CSP(Content-Security-Policy)指的是内容安全策略,它的本质是建立一个白名单,告诉浏览器哪些外部资源可以加载和执行。我们只需要配置规则,如何拦截由浏览器自己来实现。 通常有两种方式来开启 CSP,一种是设置 HTTP 首部中的 Content-Security-Policy,一种是设置 meta 标签的方式<meta http-equiv="Content-Security-Policy"> CSP 也是解决 XSS 攻击的一个强力手段 ...
信息学奥赛/CSP/NOIP是什么?怎么规划?
bigbigli的博客
03-04 1万+
有很多家长可能对信息学奥赛有所了解,也听说信奥学的好甚至能保送清华北大,但具体信奥是什么或者对于很多名词/赛事并不是很清楚,大李这里简单给大家介绍下什么是信息学奥赛,什么是CSP-J/S,什么又是NOIP等。 在了解信息学奥赛的同时,这里大李也会给大家做一个详细的规划,什么时候学、怎么学、什么时间参加什么赛事最合适... ... 信息学奥林匹克竞赛 信息学奥林匹克竞赛简称信奥赛,由中国计算机学会(CCF)于1984年创办,是为全国青少年举办的计算机程序设计竞赛,属于五大学科竞赛之一(数学、物理、化学、生
信息学奥林匹克竞赛详解-CSP、NOIP、NOI、IOI是什么
最新发布
scratch少儿编程
08-08 3693
认证分为两个级别:CSP-J(Junior,入门级)和CSP-S(Senior,提高级),CSP-J/S是信息学奥赛的前置赛,它是由中国计算机学会(CCF)主办的一项全国性的软件能力认证,旨在培养和选拔优秀的编程人才,比赛分为两轮,每年只举办一次。这种循序渐进的方式,有助于学生在信息学奥赛的道路上坚持更长时间,从而获得更多奖项。根据公示名单中的分配方案,我们可以看出,参加NOIP的选手主要从当年参加CSP-S第二轮的高中选手中进行选取,在各省范围内,成绩越优异的选手,获取NOIP参赛资格的几率越高。
安全面试、笔试、学习知识点大杂烩2
qq_44704184的博客
03-08 1283
使用DNS协议根据域名查询ip两种方式:递归查询和迭代查询 域名的解析过程 注意: 一、主机向本地域名服务器的查询一般都是采用递归查询。所谓递归查询就是:如果主机所询问的本地域名服务器不知道被查询的域名的IP地址,那么本地域名服务器就以DNS客户的身份,向其它根域名服务器继续发出查询请求报文(即替主机继续查询),而不是让主机自己进行下一步查询。因此,递归查询返回的查询结果或者是所要查询的IP地址,或者是报错,表示无法查询到所需的IP地址。 二、本地域名服务器向根域名服务器的查询的迭代查询。迭代查询的特点:
CSP内容安全策略
dzqxwzoe的博客
01-09 1713
内容安全策略 (CSP是一个附加的安全层,有助于检测和缓解某些类型的攻击,包括跨站点脚本(XSS)和数据注入攻击。这些攻击用于从数据窃取到网站污损或恶意软件分发的所有事情。
CSP内容安全策略详解.zip
03-31
**内容安全策略(Content Security Policy,简称CSP)** 是一种网络安全性机制,用于御跨站脚本攻击(XSS)和其他恶意注入。通过定义一套允许加载的资源来源、类型和执行方式,CSP帮助网站管理员限制浏览器仅执行...
CSP内容安全策略原理与绕过
st3pby的博客
11-09 2669
Content Security Policy (CSP内容安全策略,是一个附加的安全层,有助于检测并缓解某些类型的攻击,包括跨站脚本(XSS)和数据注入攻击。
【XSS技巧拓展】————6、CSP简介
Fly_鹏程万里
01-14 2819
摘要 Content Security Policy是一种web平台的安全机制,是为了减少xss漏洞而出现,这应该是现代web应用中顶级的安全漏洞。在本文中,我们仔细观察和考虑CSP的实际好处,也确定下现实世界中出现的可以导致94.72%的所有不同策略重大缺陷。 我们对互联网超过10亿个主机名大约1000亿的搜索引擎库,1680867台主机的CSP部署方式,26011种独特的CSP策略做了研究...
通信安全//什么是 CSP
weixin_37877794的博客
07-27 458
CSP(Content-Security-Policy)指的是内容安全策略,它的本质是建立一个白名单,告诉浏览器哪些外部资源可以加载和执行。我们只需要配置规则,如何拦截由浏览器自己来实现。 通常有两种方式来开启 CSP, 一种是设置 HTTP 首部中的 Content-Security-Policy, 一种是设置 meta 标签的方式<meta http-equiv="Content-Security-Policy"> CSP 也是解决 XSS 攻击的一个强力手段。 ...
CSP unsafe-inline时, 引入外部js
测试
07-15 9871
前言原文: https://lab.wallarm.com/how-to-trick-csp-in-letting-you-run-whatever-you-want-73cb5ff428aa用自己的理解, 把这个文章比较通俗的翻译补充了一下。 利用场景当csp有Unsafe-inline时, 并且受限于csp无法直接引入外部js, 当frame-src 为self, 或者能引入当前域的资源的时...
blob图片资源被CSP拦截,无法在浏览器中加载
小小的心,有大大的梦的博客
08-02 7858
修改前nginx 中的配置: add_header Content-Security-Policy "default-src 'self' 'unsafe-inline' 'unsafe-eval';` 修改后nginx 中的配置: add_header Content-Security-Policy "default-src 'self' 'unsafe-inline' 'unsafe-e...
CSP 内容安全策略入门
qq_53058639的博客
01-09 742
最近在修复公司系统一个图片导出的功能,无法导出图片。
XSS御:内容安全策略 CSP工作原理、配置技巧与最佳实践
乐闻世界
12-13 969
公司部门安全合规改造计划,要求所有的Web站点统一添加CSP规则。对于CSP机制我只是之前在应付面试的时候背过相关的概念,并没有真正在项目中实践过。所以希望借助本次改造任务好好理解并实践CSP机制。CSP全称是,翻译成中文就是内容安全策略CSP是一个计算机安全标准,通过定义允许在置顶网络应用中加载的来源类型,以保护网页不受跨站站点脚本XSS和数据注入攻击等安全攻击。它的基本工作原理其实就是白名单机制,CSP 通过告诉浏览器一系列规则,严格规定页面中哪些资源允许有哪些来源,不在指定范围内的通通拒绝。
关于CSP及其相关实现
Wang的专栏
06-05 822
【代码】关于CSP及其相关实现。
内容安全策略CSP)详解
热门推荐
柱哥的博客
04-18 2万+
内容安全策略CSP),其核心思想十分简单:网站通过发送一个 CSP 头部,来告诉浏览器什么是被授权执行的与什么是需要被禁止的。其被誉为专门为解决XSS攻击而生的神器。
请求报错blocked:csp
Mr__proto__的博客
03-27 1009
项目架构:electorn+react+axios。此报错是因为mate标签里写了如下代码。解决办法就是先把这段代码注释掉。代码用途是,止跨域脚本攻击。
详细了解CSP绕过
2301_79323180的博客
04-28 1999
CSP(Content Security Policy)即内容安全策略,为了缓解很大一部分潜在的跨站脚本问题,浏览器的扩展程序系统引入了内容安全策略CSP)的一般概念。这将引入一些相当严格的策略,会使扩展程序在默认情况下更加安全,开发者可以创建并强制应用一些规则,管理网站允许加载的内容CSP的实质就是白名单机制,对网站加载或执行的资源进行安全策略的控制。
内容安全策略CSP),御 XSS 攻击的好助手
06-08
内容安全策略CSP)是一种安全机制,可以减少和止跨站脚本攻击(XSS)的发生。CSP 允许网站管理员指定浏览器只从特定来源加载资源,止恶意脚本被加载并执行。此外,CSP 还可以限制页面中可以执行的代码类型和...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值