Content Security Polic (网页安全政策,缩写 CSP)

最新推荐文章于 2024-05-14 19:06:35 发布
最新推荐文章于 2024-05-14 19:06:35 发布
阅读量1.7k 收藏
点赞数 1
分类专栏: 安全 文章标签: 安全 政策 security 防注入 CSP

CSP是一种由开发者定义的安全性政策性申明,通过CSP所约束的的规责指定可信的内容来源(这里的内容可以指脚本、图片、iframe、fton、style等等可能的远程的资源)。通过CSP协定,让WEB处于一个安全的运行环境中。

CSP 大大增强了网页的安全性。攻击者即使发现了漏洞,也没法注入脚本,除非还控制了一台列入了白名单的可信主机。

两种方法可以启用 CSP。

一种是通过 HTTP 头信息的Content-Security-Policy的字段

Content-Security-Policy: script-src 'self'; object-src 'none';
	style-src cdn.example.org third-party.org; child-src https:

另一种是通过网页的<meta>标签 <meta http-equiv="Content-Security-Policy" content="script-src 'self'; object-src 'none'; style-src cdn.example.org third-party.org; child-src https:">

资源加载限制指令表

指令
指令值示例
说明
default-src 'self' cnd.a.com

定义针对所有类型(js、image、css、web font,ajax请求,iframe,多媒体等)资源的默认加载策略,某类型资源如果没有单独定义策略,就使用默认的。

script-src 'self' js.a.com 定义针对JavaScript的加载策略。
style-src 'self' css.a.com 定义针对样式的加载策略。
img-src 'self' img.a.com 定义针对图片的加载策略。
connect-src 'self'

针对Ajax、WebSocket等请求的加载策略。不允许的情况下,浏览器会模拟一个状态为400的响应。

font-src font.a.com 针对Web Font的加载策略。
object-src 'self' 针对<object>、<embed>或<applet>等标签引入的flash等插件的加载策略。
media-src media.a.com 针对<audio>或<video>等标签引入的html多媒体的加载策略。
frame-src 'self' 针对frame的加载策略。
sandbox allow-forms

对请求的资源启用sandbox(类似于iframe的sandbox属性)。

report-uri /report-uri

告诉浏览器如果请求的资源不被策略允许时,往哪个地址提交日志信息。

特别的:如果只想让浏览器汇报日志,而不阻止任何内容。可以改用Content-Security-Policy-Report-Only响应头。

指令值组合说明

指令值
指令示例
说明
* img-src * 允许任何内容。
'none' img-src 'none' 不允许任何内容。
'self' img-src 'self' 允许来自相同来源的内容(相同的协议、域名和端口)。
data img-src data 允许data:协议(例如base64编码的图片)。
www.a.com img-src img.a.com 允许加载指定域名的资源。
*.a.com img-src *.a.com 允许加载a.com任何子域的资源。
https://img.com img-src https://img.com 允许加载img.com的https资源(协议需匹配)。
https: img-src https: 允许加载https资源。
'unsafe-inline' script-src 'unsafe-inline'

允许加载inline资源(例如常见的style属性,onclick,inline js和inline css等等)。

'unsafe-eval' script-src 'unsafe-eval' 允许加载动态js代码,例如eval()。

运营商劫持临时解决方案

<!--脚本加载白名单 【临时解决方案,后续还是要使用https来解决这个问题】-->
	<meta http-equiv="Content-Security-Policy" content="script-src 'unsafe-inline' 'unsafe-eval' *.sjzhushou.com *.xunlei.com">

浏览器兼容性以及相关资料

userkang
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
请求由http请求转成https请求的办法
weixin_42411512的博客
05-27 860
<!-- 将http请求转成https请求 --> 在https的页面加上这个标签 <meta http-equiv="Content-Security-Policy" content="upgrade-insecure-requests">
Content-Security-Policy —— HTML HTTP的内容安全策略(1)
2401_83621426的博客
03-16 731
a>标签的ping属性。
网络安全最全Content-Security-Policy —— HTML HTTP的内容安全策略,面试网络安全系统架构
最新发布
2401_84247760的博客
05-14 726
定义使用和等元素加载的 Web Worker 和嵌套浏览上下文的有效来,不符合要求的请求将被用户代理视为致命的网络错误如果要规范嵌套的浏览上下文和worker,应该分别使用frame src和worker src指令,而不是child src。
十、显示锁
书香水墨
05-27 104
在Java 5.0之前,在协调对共享对象的访问时可以使用的机制只有synchronized和volatile。 Java 5.0增加了一种新的机制:ReentrantLock。与之前提到过的机制相反,ReentrantLock并不是一种替代内置加锁的方法,而是当内置加锁机制不适用时,作为一种可选的改机功能。 一、Lock与ReentrantLock 在程序清单给出的Lock接口中定义了一组抽...
【网络安全Content Security Policy (CSP) 介绍
qq_43842093的博客
06-03 1798
内容安全策略 (CSP) 是一个额外的安全层,用于检测并削弱某些特定类型的攻击,包括跨站脚本 (XSS) 和数据注入攻击等。无论是数据盗取、网站内容污染还是散发恶意软件,这些攻击都是主要的手段。
WEB应用内容安全策略(Content Security Policy)
A_991128a的博客
01-15 2598
它通过让开发者对自己WEB应用声明一个外部资源加载的白名单,使得客户端在运行WEB应用时对外部资源的加载做出筛选和识别,只加载被允许的网站资源.对于不被允许的网站资源不予加载和执行.同时,还可以将WEB应用中出现的不被允许的资源链接和详情报告给我们指定的网址.如此,大大增强了WEB应用的安全性.使得攻击者即使发现了漏洞,也没法注入脚本,除非还控制了一台列入了白名单的服务器.使用这种模式,将会直接阻止非法的外部资源加载,同时也可以选择是否配置将非法资源加载的链接和行为报告给我们指定的网址。
Content-Security-Policy —— HTML HTTP的内容安全策略
HUAXIAL的博客
03-21 854
函数式编程其实是一种编程思想,它追求更细的粒度,将应用拆分成一组组极小的单元函数,组合调用操作数据流;它提倡着 纯函数 / 函数复合 / 数据不可变, 谨慎对待函数内的 状态共享 / 依赖外部 / 副作用;
http内容安全策略Content Security Policy(CSP)
focus on security
08-24 5708
内容安全策略CSP安全性的附加层,有助于检测和缓解某些类型的攻击,包括跨站点脚本(https://owasp.org/www-community/attacks/xss/)和数据注入攻击。这些攻击可用于从数据盗窃,站点损坏到恶意软件分发的所有方面。 CSP被设计为完全向后兼容(除CSP版本2,其中有在向后兼容性一些明确提到的不一致性)。不支持它的浏览器仍然可以与实现它的服务器一起使用,反之亦然:不支持CSP的浏览器只是忽略它,照常运行,默认为Web内容的标准同源策略。如果站点不提供CSP标头,则浏览器同
[Error] because it violates the following Content Security Policy directive
Nicker_的专栏
03-18 2万+
[Error] because it violates the following Content Security Policy directive html开发过程中,遇到以下错误,意思是html的meta设置的权限问题 Refused to connect to 'blob:http://localhost:8080/6d57f07f-3c2f-49ca-be30-fd0b7f4cff6e' because it violates the following Content Security Pol
generate-node-policy-file:为您的代码生成一个Node.js策略文件
05-05
生成节点策略文件为您的代码生成一个。 策略是一项安全功能,旨在保证有关Node.js能够加载的代码。 策略的使用假定策略文件是安全的做法,例如确保使用文件权限可以确保Node.js应用程序不会覆盖策略文件。...polic
2021年H3C安全火墙实验指导入门培训视频教程【共13集】.rar
10-28
04安全策略 object-policsecurity-policy-ip.mp4 05静态路由 static routing. mp4 06动态路由rip与 ospf. mp4 07网络地址转换mp4 08虚拟专用网 ipsec vpn.mp4 09拟专用网 ssl vpn. mp4 10双机热备 vrrp. mp4 11...
[Android][frameworks][HIDL]使用HIDL新建虚拟HAL以实现system_server与native进程双向通信(二)——踩坑篇
01-03
前言 在上一篇中,我们已经搭建好了服务端的代码结构,并且保证编译通过; 但是由于各种坑的存在,我们无法直接让服务端跑起来,因此本篇不是写客户端调用,而是一篇和编译规则定义、selinux规则添加等相关的踩坑...
jce_policy-8
05-03
当尝试使用超过默认限制的密钥长度,例如256位的AES密钥时,Java程序可能会抛出`java.security.InvalidKeyException: Illegal key size`这样的错误。 标题"jce_policy-8"指的是针对Java 8的一个特定补丁或更新,...
an ancestor violates the following Content Security Policy directive: “frame-ancestors ‘none‘”.
sqlora的专栏
09-01 2万+
一.从 iframe 说起 利用iframe能够嵌入第三方页面,例如: <iframe style="width: 800px; height: 600px;" src="https://www.baidu.com"/> 然而,并非所有第三方页面都能够通过iframe嵌入: <iframe style="width: 800px; height: 600px;" src="https://github.com/join"/> Github 登录页并没有像百度首页一样
nginx 的安全策略问题
zhangiser的专栏
05-09 3197
不允许被嵌入,包括, , , 和 在nginx的 nginx.conf 的http 下面 加入安安全策略。这里主要是 frame-ancestors的参数需要调整。# 只允许被白名单内的页面嵌入。# 只允许被同源的页面嵌入。
uni-app - Refused to display ‘xxx‘ in a frame because an ancestor violates the following Content Sec
王佳斌
07-19 3670
uni-app - Refused to display ‘xxx‘ in a frame because an ancestor violates the following Content Sec
内容安全策略 Content-Security-Policy
热门推荐
qq_30436011的博客
10-24 3万+
1、限制资源获取:限制网页当中一系列的资源获取的情况,从哪里获取,请求发到哪个地方限制方式:default-src限制全局的和链接有关的作用范围根据资源类型(connect-src、img-src等),限制资源范围2、报告资源获取越权:在网页当中获取了一些我们不应该获取的资源的时候,给服务进行报告,报告资源获取越权,然后做出调整之所以报这个错误,就是我们加了这个头的作用。这个时候 inline脚本还是不能执行的。如果引入外链的脚本文件,则会报错,这样就可限制,只能使用我们本站使用的脚本。
Web 安全之内容安全策略(Content-Security-Policy,CSP)配置问题
baiyongliang
05-23 3万+
简单的配置方式:Content-Security-Policy,X-Frame-Options头未设置”警告的过滤器 1.CSP 简介 内容安全策略(Content Security Policy,简称CSP)是一种以可信白名单作机制,来限制网站是否可以包含某些来源内容,缓解广泛的内容注入漏洞,比如 XSS。 简单来说,就是我们能够规定,我们的网站只接受我们指定的请求资源。默认配置下不允许执行...
filter-polic
09-23
filter-policy是一种用于过滤路由的策略。它可以在路由器中配置,用于控制路由的传递和过滤。在引用中提到了两种使用场景: 1. 在AR3的Filter-Policy调用ACL,通过配置ACL规则来过滤源IP为10.1.1.0/24的路由。该配置中使用了ACL 2000,并设置规则禁止源IP为10.1.1.0/24的路由,同时允许其他源IP的路由通过。 2. 在R2上使用了filter-policy来过滤RIP接收到的路由。通过配置ip-prefix 1,将192.168.3.0/24的路由过滤掉,并允许其他路由通过。 所以,filter-policy可以根据特定的条件(如源IP或路由类型)来过滤和控制路由的传递。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值