React使用CSP

最新推荐文章于 2023-04-12 11:00:17 发布
最新推荐文章于 2023-04-12 11:00:17 发布
阅读量759 收藏 1
点赞数
文章标签: javascript python json ViewUI
原文链接:https://my.oschina.net/phybrain/blog/1553368
版权

2019独角兽企业重金招聘Python工程师标准>>> hot3.png

 

react中默认对输入内容进行了html转义,但是也会产生xss漏洞,

我们直接使用JSON.stringfy将JavaScript对象转化为了JSON字符串,然后以全局变量的方式插入到了页面中。如果要序列化的对象是这样:

{
  user: {
    
    xss: "<script>alert('xss')</script>"
  }
}

 

可能会引发XSS,另外react中有dangerouslySetInnerHTML属性可以显示自定义html内容未经过转义,

function createMarkup() { return {__html: '<script>alert(1)</script>'}; };
    <div dangerouslySetInnerHTML={createMarkup()} />

所以会引发XSS,所以使用CSP可以避免这些漏洞。

 

 

React中使用CSP,demo测试:

(csp策略使用时,html必须运行在http服务上,script策略才能正常执行!)

1.直接使用meta定义普通csp策略,使用python  http.server快速搭建http。

<!DOCTYPE html>
<html>
  <head>
    <meta charset="UTF-8" />
    <title>Hello React!</title>
	<!-- script-src cdn.bootcss.com 'unsafe-eval' 'unsafe-inline'; -->
    <meta http-equiv="Content-Security-Policy" content=" img-src https://*; script-src cdn.bootcss.com 'self' ; ">
    <script src="https://cdn.bootcss.com/react/15.4.2/react.min.js" nonce="1" ></script>
    <script src="https://cdn.bootcss.com/react/15.4.2/react-dom.min.js" nonce="1"></script>
    <script src="https://cdn.bootcss.com/babel-standalone/6.22.1/babel.min.js" nonce="1"></script>
   <!--  <meta http-equiv="Content-Security-Policy" content="script-src 'nonce-1'"> -->
  <!--  <meta http-equiv="Content-Security-Policy" content=" img-src https://*; " > -->
 <!--  <meta http-equiv="Content-Security-Policy" content=" img-src https://*; script-src 'nonce-1' 'unsafe-inline'; style-src 'self' " > -->
  <style type="text/css">
   #a{

   	background-color: red;
   	color: blue;
   	font-size: 20px;
   }
  </style>
  </head>

  <body>
    <div id="example"></div>
   <p id="a">xxx</p>

  <img src='http://www.runoob.com/wp-content/uploads/2015/12/vue_js_4-650x270.png'></img>
  <img src='https://www.baidu.com/img/bd_logo1.png'></img>
    <script type="text/babel" nonce="1">

   
      ReactDOM.render(
        <h1>Hello, world!</h1>,
        document.getElementById('example')
      );
    </script>
     

    <script type="text/javascript" nonce="1">
            alert(1)
    </script>


  </body>
</html>

发现普通img CSP策略生效,无弹窗普通js没执行,但是react代码没有执行,查看浏览器日志

异常为Either the 'unsafe-inline' keyword,没有unsafe-inline,csp策略下有unsafe-inline 内联js才会执行。加入策略

有弹窗,发现普通js和jsx正常执行,

 

继续测试CSP2.0的策略,nonce 。

修改meta,并给所有js添加nonce=1 属性

 <meta http-equiv="Content-Security-Policy" content=" img-src https://*; script-src cdn.bootcss.com 'unsafe-inline' 'nonce-1'; ">

发现react没有执行,

查看日志报错信息:

'unsafe-inline' is ignored if either a hash or nonce

CSP 规则默认不允许执行內联 JS 脚本、eval、Function 等,最大程度的限制了非法 JS 脚本的运行。unsafe-ignore 在使用nonce时被无视了 ,而react的实现需要内联js,所以单页面使用react时,需要放弃nonce,指定特定的script-src域名来源,或者jsx写在外面,再通过外联引入。

另外csp2.0 浏览器支持情况如下,chrome浏览器基本支持,火狐有很多CSP规则不支持

 

 

 

转载于:https://my.oschina.net/phybrain/blog/1553368

weixin_34315189
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
react-csp
03-29
react-csp
使用 CSP 集中管理 React 应用程序的状态
06-08
State Trooper 安装 npm npm install state-trooper Yarn yarn add state-trooper 示例用法 在路由处理程序/主应用程序入口点中调用 StateTrooper.patrolRunLoop const config = { // 描述页面状态的状态:{ serverReport: null, bio : null, activity: null }, // 描述每个状态的获取器和持久器 // 获取器和持久器是应该返回通道的函数 dataStore: { 'serverReport': { fetcher: serverReportFetcher }, 'bio': { fetcher : bioFetcher, 持久器: bioPersister }, 'activity': { fetcher: activityFetcher } } }; const cursor = StateTrooper.patrolRunLoop(config, (cursor) => { // 当状态改变时重新渲染组件生成新的光标 React
Layout-ReactJS:布局做的CSP
03-08
Desafio CSP 包含由HTML和CSS(HTTP:// 负责的布局布局,并由Reactizs组件组成。 estilizaçãofoi feita com样式的组件。 Para osíconesfoi utilizado material-ui。 REST api的必要性通过邮递员执行restdb.io e alimentada。 如chamadas REST api foi utilizado axios。 执行者或项目 可以下载文件或下载文件,并以可执行文件的名义安装面食。 准命令执行工具或命令开始启动面食。 美国图书馆 @ material-ui /核心@ material-ui / icons 样式化的组件轴距React路由器域
Rails-React-Flux-CSP:该项目是在 js-csp 中为 React.js 实现 Flux 架构的尝试
06-09
模板 由。 结构 实现文件夹放在app/frontend/javascripts/ ,后面会被编译。 主意 代替实现,我们可以让 action 和 store 之间的通信,或者 store 和组件之间的通信更详细吗? 行动 // app/frontend/javascripts/actions.js csp . putAsync ( sourceChan , { store : StoreDetails . AppStore , actionType : Constants . ADD_ITEM , item : item } ) ; // app/frontend/javascripts/store/app-store.js csp . operations . pub . sub ( publication , StoreDetails . AppStore , inChan )
reactjs脚手架index.html中配置项说明
学亮编程手记
02-03 417
reactjs脚手架index.html中配置项说明
tetris-clone:使用React和Medium进行CSP事件处理
05-23
"使用React和Medium进行CSP事件处理"这部分可能意味着项目采用了React来构建游戏逻辑,并且在处理用户输入和事件时遵循了Medium的CSP规则,以提高应用的安全性。"跑步"部分是指启动项目,通过运行`npm install`安装...
remote-component:从URL动态加载React组件
05-01
它的使用方式与其他任何React Component的使用方式相同。 const url = "https://raw.githubusercontent.com/Paciolan/remote-component/master/examples/remote-components/HelloWorld.js" ; const HelloW
内容安全策略( CSP )
automation13的博客
11-10 267
内容安全策略 (CSP) 是一个额外的安全层,用于检测并削弱某些特定类型的攻击,包括跨站脚本 (XSS)和数据注入攻击等。(摘自MDN) 具体内容请参考MDN:https://developer.mozilla.org/zh-CN/docs/Web/HTTP/CSP 对于XSS攻击的防止,请参“美团技术团队”公众号,相关文章地址:https://segmentfault.com/a/1190000016551188 对于React和Vue,XSS攻击已经在框架里进行了防范,但是使用 dan...
CSP:给大家介绍下我爸爸 — Performance
tzllxya的博客
06-23 471
CSP:给大家介绍下我爸爸 — Performance 这篇文章主要讲如何利用 PerformanceAPI 辅助书写CSP 指令里的域名名单的思路,并不是写 CSP 的最佳实践,也未提供成熟工具。如果你还不了解 CSP 或者 PerformanceAPI,可以看下第 0 步(由于我并未特别深入 CSP 规则,如果有写的不对的地方,请大力指正),大佬请跳过。 0. 名词解释 C...
electron报错:Refused to execute inline event handler because it violates the following Content 。。。
github_53963510的博客
04-12 1633
electron 页面添加 onClick 点击事件报错:Refused to execute inline event handler because it violates the following Content Security Policy directive: "script-src 'self'". Either the 'unsafe-inline' keyword, a hash ('sha256-...'), or a nonce ('nonce-...') is required t
React几种基本配置方案
u012742622的博客
11-02 2184
跳转到主要内容 w3cplusCSS3 Mobile Sass JavaScript 视频教程 译文 SVG 工具 标签云 React几种基本配置方案 作者:大漠 日期:2016-05-27 点击:1677 React
react当前页面插入外部script
sunzhen15896的博客
01-25 993
componentDidMount() { const script = document.createElement("script"); script.src = "/scripts/xxx.js"; script.async = true; document.body.appendChild(script); }
如何在 React 中优雅的使用 addEventListener
astak3的博客
01-30 1359
这个问题困扰了我很久,写业务时,我一直用方法一,随着依赖项越来越多,维护是个噩梦(方法三也是噩梦)我一直在想如何在中拿到最新的state今天本来想记录下方法一和方法三的在一点点写下笔记的时候,发现了方法二,可以利用闭包解决事件卸载问题,从而又发现了优化维护依赖项的方法如果今天不写笔记,这个问题还会继续困扰着我。
存储型xss_微软旗下协同平台Azure DevOps的存储型XSS漏洞(绕过CSP
weixin_39545329的博客
12-08 190
最近,微软启动了一个针对Azure DevOps的漏洞悬赏计划。在一个新的应用上找漏洞总是如此的吸引人。让我们开始吧!我们的目标是https://dev.azure.com,这是一个由Microsoft开发的Git的web服务器。我在其中的markdown编辑器中发现了一个XSS漏洞。当你创建一个Git的pull请求时,可以使用markdown添加一些注释。而由于网站markdown的渲染未能转义...
浏览器控制台报错
smart_dream
10-25 8327
异常问题:浏览器关闭连接 Failed to load resource: net::ERR_CONNECTION_CLOSED 异常原因:项目中混用http协议和https协议 解决方案:指示 User Agent 将 HTTP 更改为 HTTPS <meta http-equiv="Content-Security-Policy" c...
Referrer Policy 介绍
热门推荐
johnhuster的专栏
12-15 2万+
Referrer Policy 介绍
如何正确处理nonce
关于代码的那些事
09-14 8804
问题概述 以太坊系列(ETH&amp;ETC)在发送交易有三个对应的RPC接口,分别是ethsendTransaction、ethsendRawTransaction和personal_sendTransaction。这三个接口发送(或构造发送内容时)都需要一个参数nonce。官方文档对此参数的解释是:整数类型,允许使用相同随机数覆盖自己发送的处于pending状态的交易。 官网解释 仅从官...
聊聊React v16.3的UNSAFE类生命周期
weixin_34351321的博客
09-14 451
不知道小伙伴有没有注意到,自从react更新到16.3版本后,以前使用的componentWillMount、componentWillReceiveProps、componentWillUpdate三个生命周期函数都有eslint报警,让我们使用UNSAFE_前缀的新的生命周期函数。不禁有疑问“react这是意欲何为啊”?为什么要加UNSAFE_前缀? 为什么要对这些生命周期函数报警? 1、c...
react 引入html文件_react项目通过iframe方式引入html页面
最新发布
06-10
React 项目中,可以使用 `<iframe>` 标签来引入外部 HTML 文件。...如果你要引入外部 HTML 文件,请确保它来自受信任的来源,并在可能的情况下使用其他安全措施(例如 CSP)来保护你的应用程序。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值