CSP防运营商劫持

最新推荐文章于 2024-04-05 17:23:07 发布
最新推荐文章于 2024-04-05 17:23:07 发布
阅读量408 收藏
点赞数
文章标签: javascript 后端 前端 ViewUI
原文链接:https://juejin.im/post/5bdbe90c51882516de76a422
版权

一、什么是CSP

CSP英文全称Content Security Policy,中文意思是 内容安全策略。CSP以白名单的机制对网站加载或执行的资源起作用,在网页中,这样的策略通过 HTTP 头信息或者 meta 元素定义。用于检测并削弱某些特定类型的攻击,包括跨站脚本 (XSS) 和数据注入攻击等。无论是数据盗取、网站内容污染还是散发恶意软件。

三、CSP的应用

2种方式

1. 前端配置 - Meta标签

在 HTML 的 Head 中添加 Meta 标签

<meta http-equiv="Content-Security-Policy" content="script-src 'nonce-shendun' zeptojs.com; object-src 'none';">
复制代码

(提示:这里推荐本地启动web服务,去访问这个页面),这里是最基本的配置,完整代码如下:

<!DOCTYPE html>
<html>
<head>
  <script>
    console.log('发生劫持,初始化就直接置顶的流氓行为,CSP也无法防御,但可以通过埋点记录LOG,通知工信部处理!!');
  </script>
  <meta charset="utf-8" />
  <meta http-equiv="Content-Security-Policy" content="script-src 'nonce-shendun' zeptojs.com; object-src 'none';">
  <title>CSP测试</title>
  <script>
    console.log('来劫持你了.... 但被阻止了,未能发生有效劫持!');
  </script
  <!-- 安全标签 -->
  <script nonce=shendun>
    console.log('设置了nonce,其值与受信任来源列表中的值相匹配 ,此处有效!!');
  </script>
</head>
<body>
  <div>CSP测试</div>
  <!-- zeptojs.com 加入了白名单 -->
  <script src="http://zeptojs.com/zepto.min.js"></script>
  <!-- 未加入白名单,被拦截 -->
  <script src="https://mt.cnzz.com/js/hdpi_canvas.js"></script>
</body>
</html>
复制代码

这种方式除了 头部的注入型劫持未被拦截以外 ,其他 script 劫持均被拦截。需要特别注意的是这段代码中的 nonce-shendun ,这里可以理解为 script 的安全属性,nonce- 是CSP提供的参数,shendun 这个名字是自定义的(官方推荐这里填随机数)。

2. 后端配置

Nginx 为例,配置 Sever 文件,添加如下代码:

server {
    ...
    add_header Content-Security-Policy "default-src *; script-src 'self' 'nonce-shendun' baidu.com *.baidu.com;";
    ...
复制代码

源列表中也接受了四个关键字:

  • 'none' 你可能会期望,什么也没有。
  • 'self' 匹配当前来源,但不匹配其子域。
  • 'unsafe-inline' 允许内联JavaScript和CSS (很多劫持是script直接注入,所以这里不推荐这么配置
  • 'unsafe-eval' 允许文本到JavaScript的机制eval。

CSP的API和用法指南太多了,奉上传送门:developer.mozilla.org/zh-CN/docs/…

四、数据分析

不管是前端配置还是后端配置 CSP 都非常方便,但是也存在 Head 头部协议被篡改,导致 CSP 失效的现象,这个时候 “薅羊毛” 的就有可乘之机。

以下是一个线上活动(加了CSP)的真实数据:

日期PVUV劫持PV劫持UV劫持率(劫持uv/uv)
10/16485034106487913764106938.56%
10/155427131232021049944830839.2%

这些真实数据作者未做任何处理,不过这里劫持UV数据拉的不是很科学,没有过滤掉一个页面出现多次劫持的成分,但总体劫持率还是很高。

开始怀疑人生...

五、总结

CSP不是万能的,有兴趣的同学可以看下防运营商劫持一:

可两者结合使用,希望对你有所帮助~

转载于:https://juejin.im/post/5bdbe90c51882516de76a422

weixin_33922670
关注
2022 CSP-S2.pdf
10-29
此题目是2022年CCF非专业级软件能力认证CSP-S的提高组复赛试题,涉及的主要编程语言是C++,题目的类型属于传统的算法问题,包括“假期计划”、“策略游戏”、“星战”和“数据传输”四个题目。下面我们将重点解析...
干货!运营商劫持
程序员阿飘 的博客
03-14 799
运营商是指那些提供宽带服务的ISP,包括三大运营商中国电信、中国移动、中国联通,还有一些小运营商,比如长城宽带、歌华有线宽带。运营商提供最最基础的网络服务,掌握着通往用户物理大门的钥匙,目前运营商劫持很普遍。目前运营商劫持率大约是3% ~ 25%,它们无处不在。为了还用户一个干净安全的浏览环境,我们需要做好预措施1.全站https,能一部分2.加入运营商劫持代码,能大部分注入型劫持3.记录Log,记录证据,向工信部投诉。
script、iframe注入型运营商劫持
JUSTIN的博客
11-25 1133
(一)前言 准确是运营商劫持就是script、iframe注入型劫持,属于HTTP劫持中的一种。主要是劫持js文件,然后在网页中通过js脚本往网页中注入图片和链接或者框架广告,也叫流量劫持。 至于劫持类型,这里我建议,看这篇文章 (二) ...
CSP内容安全策略
dzqxwzoe的博客
01-09 1764
内容安全策略 (CSP是一个附加的安全层,有助于检测和缓解某些类型的攻击,包括跨站点脚本(XSS)和数据注入攻击。这些攻击用于从数据窃取到网站污损或恶意软件分发的所有事情。
CSP 内容安全策略, 介绍, 配置CSP策略, CSP实战绕过
探测???
11-06 4224
CSP(内容安全策略)是一种额外的安全层,可以帮助检测和减轻某些类型的攻击,如跨站脚本攻击(XSS)和数据注入攻击。CSP允许网站管理员定义哪些动态资源允许执行和加载,有助于止恶意脚本执行以及非授权内容的加载。通过使用HTTP头部,网站可以控制用户代理如何执行页面的特定部分,这可以显著减少XSS攻击的风险。default-src:设置默认加载资源的策略(例如,自身的源、任何地方的源、或者不加载任何外部资源)。
如何运营商内容劫持(http劫持)
weixin_33989780的博客
12-04 1182
服务器远程桌面连接 目前来看,根据我的经验,运营商内容劫持是通过白名单策略进行的,主要是针对高流量的访问地址,如微信API,jiathis分享代码,微博网页等进行. 主要表现为js脚本注入,和 html内容 注入.自己的JS代码. 因此,就预来说,比如,页面引入了,第三方这类JS代码的,要改为HTTPS方式如 <script type="text/javascri...
csp 2021初赛复习资料
09-14
csp 2021初赛复习资料
CSP.rar_csp
09-21
在实际应用中,CSP和退火算法结合可以解决复杂的问题,如大学课程表安排、生产调度、旅行商问题等。这样的程序通常需要进行性能调优,包括合理设置退火算法的参数、优化约束传播机制以及提高搜索效率。 通过这个CSP...
CSP-J模拟赛:真题复现
08-02
CSP-J模拟赛:真题复现】 CSP-J(中国计算机学会青少年软件编程能力认证初级)是一项针对青少年的编程能力评估考试,旨在检验考生的编程基础和逻辑思维能力。本模拟赛名为FCC - PCS-J,旨在与CSP-J保持相似的难度...
前端内容安全策略(csp),web开发毕业谁
最新发布
2401_84093860的博客
04-05 317
前端CSS面试题文档,JavaScript面试题文档,Vue面试题文档,大厂面试题文档,需要的读者可以戳这里免费领取!需要的读者可以戳这里](https://bbs.csdn.net/topics/618191877)免费领取!**[外链图片转存中…(img-Yk7qY5tY-1712308940438)][外链图片转存中…(img-vFrjuEUW-1712308940438)]
正当CSP(content security policy)
weixin_43964271的博客
09-05 3732
because it violates the following Content Security Policy directive: "default-src 'self'
php避免网页出现运营商劫持,运营商劫持前端解决办法
weixin_36296325的博客
03-10 260
运营商劫持前端解决办法[toc]常见的劫持方式:按照劫持的方法不同,我将劫持分为下面两类:跳转型劫持:用户输入地址A,但是跳转到地址B注入型劫持:有别于跳转型型劫持,指通过在正常的网页中注入广告代码(js、iframe等),实现页面弹窗提醒或者底部广告等,又分为下面三个小类:注入js类劫持:在正常页面注入劫持的js代码实现的劫持iframe类劫持:将正常页面嵌入iframe或者页面增加ifr...
CSP(内容安全策略)运营商劫持
JUSTIN的博客
11-26 3650
(一)前言 CSP英文全称Content Security Policy,中文意思是 **内容安全策略**。 CSP以白名单的机制对网站加载或执行的资源起作用,在网页中,这样的策略通过 HTTP 头信息或者 meta 元素定义。用于检测并削弱某些特定类型的攻击,包括跨站脚本 (XSS) 和数据注入攻击等。无论是数据盗取、网站内容污染还是散发恶意软件。
CSP -- 运营商内容劫持(广告)的终结者
weixin_33883178的博客
11-07 1508
缘由我们公司最近手机端H5 经常受到商户和用户的投诉,说有广告并且导致不能正常进行操作,我们商户自己当然不会加广告了,但是商户和用户可不管这些了,就认为是我们的问题探索发现根本目前我们用的很多浏览器,都提供插件功能,在Chrome浏览器体系下有个 广告终结者插件:可以用来屏蔽网页中的广告部分。受到这个插件的影响,我先探索下 广告劫持是怎么做的?我就想到通过获取网页html代码...
内容安全策略(CSP)详解
weixin_47450807的博客
03-02 8323
在上一篇博客我们主要总结了XSS攻击,本篇博客主要总结内容安全策略CSP的相关内容。 一、定义 内容安全策略(CSP),是一种安全策略,其原理是当浏览器请求某一个网站时,告诉该浏览器申明文件可以执行,什么不可以执行。CSP是专门解决XSS攻击而生的神器。 CSP的引入会使得我们的引入扩展程序更加安全,并且可以由开发者指定可以加载扩展程序的类型,避免恶意的脚本在浏览器中执行,造成信息泄露问题。 二、CSP的意义 CSPXSS的利器,可以把其理解为白名单,开发者通过设置CSP的内容,来规定浏览器可以加载的资
运营商HTTP劫持的终极技术手段
热门推荐
当今明月的专栏
09-25 1万+
运营商HTTP劫持(非DNS劫持)推送广告的情况相信大家并不陌生,解决的方法大多也是投诉增值业务部门进而投诉工信部。但这种方法费时费力,投诉接听人员并不了解情况导致答非所问的情况有很多,有时候不但受气最终也没能完全解决问题,或者解决问题后过了一段时间复发的情况并不少见。   近年来,运营商HTTP劫持非但没有收敛,反而变本加厉,玩出了新花样:比如通过HTTP劫持进行密码截获的活动;比如下载软
blob图片资源被CSP拦截,无法在浏览器中加载
小小的心,有大大的梦的博客
08-02 8049
修改前nginx 中的配置: add_header Content-Security-Policy "default-src 'self' 'unsafe-inline' 'unsafe-eval';` 修改后nginx 中的配置: add_header Content-Security-Policy "default-src 'self' 'unsafe-inline' 'unsafe-e...
CSP策略及绕过方法
Assassin
06-26 9963
XSS的时候经常要绕过CSP,通过网上的资料进行学习CSP策略一个CSP头由多组CSP策略组成,中间由分号分隔,就像这样:Content-Security-Policy: default-src 'self' www.baidu.com; script-src 'unsafe-inline' 其中每一组策略包含一个策略指令和一个内容源列表一、常用的策略指令:default-srcdefault-sr
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值