摸鱼日记1 针对缺失“Content-Security-Policy“头漏洞整改建议

最新推荐文章于 2024-06-24 09:15:00 发布
最新推荐文章于 2024-06-24 09:15:00 发布
阅读量2.9k 收藏 4
点赞数 1
文章标签: css html5 html csp java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_38269721/article/details/120744081
版权

起因

        公司项目进行漏扫,提出几条整改意见(其他的都比较简单、已经解决),其中有一条是`针对缺失"Content-Security-Policy"头漏洞整改建议`,漏扫方建议

Nginx
在nginx.conf中进行设置:
server {
…
add_header Content-Security-Policy "default-src 'self';";
}

嗯,很简单,上手干。

nginx -s reload

服务起来了,访问一下 www.baidu.com

 访问又问题,明显的有页面访问不到、图片上传不上去,这不行啊。

 老哥建议我请求头加内容譬如

 我全加了一遍感觉还是有问题,弄了一个笨办法,把自己访问的域名全加一遍,遇到地图这种域名多的,csp还支持通配符配置,这才解决了漏扫(笨方法),如下图:

add_header Content-Security-Policy "default-src 'self'  *.map.gtimg.com mapapi.qq.com *.qq.com img.yzcdn.cn 'unsafe-inline' 'unsafe-eval' blob: data: ;";

eyes_3109
关注
  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
安全响应(一)Content-Security-Policy_add_header content-security-policy
2401_83621004的博客
04-14 1046
还有兄弟不知道网络安全面试可以提前刷题吗?费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!王岚嵚工程师面试题(附答案),只能帮兄弟们到这儿了!如果你能答对70%,找一个安全工作,问题不大。对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!【完整版领取方式在文末!!
【已解决】“Content-Security-Policy缺失
专注于Java领域开发 关注我 带你玩转Java
06-16 9804
【已解决】“Content-Security-Policy缺失
nginx配置相关策略Content-Security-Policy、Referrer-policy
m0_46803792的博客
02-14 1万+
nginx配置相关策略Content-Security-Policy、Referrer-policy
AppScan安全专项问题解决
最新发布
m0_61869253的博客
06-24 775
网络安全行业产业以来,随即新增加了几十个网络安全行业岗位︰网络安全专家、网络安全分析师、安全咨询师、网络安全工程师、安全架构师、安全运维工程师、渗透工程师、信息安全管理员、数据安全工程师、网络安全运营工程师、网络安全应急响应工程师、数据鉴定师、网络安全产品经理、网络安全服务工程师、网络安全培训师、网络安全审计员、威胁情报分析工程师、灾难恢复专业人员、实战攻防专业人员…随着个人能力的不断提升,所从事工作的职业价值也会随着自身经验的丰富以及项目运作的成熟,升值空间一路看涨,这也是为什么受大家欢迎的主要原因。
漏洞修复:Content-Security-Policy header missing
CutelittleBo的博客
11-16 2317
在http、server、location下添加 add_header Content-Security-Policy
42种常见网站漏洞
carmi的博客
02-09 1068
42种常见网站漏洞,让你水得快速,水得专业 转载:零漏安全 2024-01-10 12:29 发表于河南 免责声明:由于传播、利用本公众号"零漏安全"所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号"零漏安全"及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即删除并致歉谢谢! 碰瓷类型 1、Nginx版本泄露 风险名称 Nginx版...
HTTP Content-Security-Policy缺失,快速解决
热门推荐
kzhzhang的专栏
05-06 2万+
Content-Security-Policy内容安全策略 (CSP) 是一个额外的安全层,用于检测并削弱某些特定类型的攻击,包括跨站脚本 (XSS) 和数据注入攻击等。无论是数据盗取、网站内容污染还是散发恶意软件,这些攻击都是主要的手段。CSP 的实质就是白名单制度,开发者明确告诉客户端,哪些外部资源可以加载和执行,等同于提供白名单。它的实现和执行全部由浏览器完成,开发者只需提供配置。CSP 大大增强了网页的安全性。攻击者即使发现了漏洞,也没法注入脚本,除非还控制了一台列入了白名单的可信主机。 注意:C
Nginx配置Http响应安全策略_nginx content-security-policy
m0_58269520的博客
04-08 1612
http {注意:在生产环境中,建议启用 upgrade-insecure-requests 指令,以防止潜在的安全风险。
koa-csp:用于设置响应Content-Security-Policy
02-03
这是Koa2中间件,用于设置响应标Content-Security-Policy 安装 npm install koa-csp yarn add koa-csp 用法 import Koa from 'koa' ; import csp from 'koa-csp' ; const app = new Koa ( ) ; app . use ( csp ( ...
Content-Security-Policy.md
06-05
如何设置meta 标签防止XSS攻击,以及CSP的一些说明, CSP 大大增强了网页的安全性。攻击者即使发现了漏洞,也没法注入脚本,除非还控制了一台列入了白名单...一种是通过 HTTP 信息的`Content-Security-Policy`的字段。
content-security-policy.com:content-security-policy.com网站的源代码
04-27
总之,`content-security-policy.com`网站的源代码是一份宝贵的教育资源,可以帮助开发者更好地理解和应用Content Security Policy,从而提高Web应用的安全性。通过深入学习和分析,我们可以掌握如何有效地保护我们...
fastify-csp:固定插件以设置Content-Security-Policy
05-08
固定插件以设置Content-Security-Policy。 为什么? 您可能知道是使用的。 您也可以将其用作fastify的中间件。 那么,为什么我做了这个插件? 您可能会在找到原因,并希望您喜欢它。 :) 区别 该插件已通过...
ContentSecurityPolicyFilter:一个可配置的Java Servlet过滤器,将“ Content-Security-Policy”标添加到ServletResponse
05-02
将“ Content-Security-Policy”或“ Content-Security-Policy-Report-Only”标添加到响应中。 另请参阅: 通常,您只需要有限的数目,也不需要任何init参数。 如果未定义init参数,则Header将如下所示: ...
安全响应(一)Content-Security-Policy
wzj_110的博客
04-17 3787
default-src指令。
Nginx配置Http响应安全策略_nginx content-security-policy(2)
m0_58269520的博客
04-08 1610
http {http {注意:在生产环境中,建议启用 upgrade-insecure-requests 指令,以防止潜在的安全风险。
常见的Nginx等保漏洞 及 处理方式
qq_70095877的博客
07-19 1988
【代码】常见的Nginx等保漏洞 及 处理方式。
前端安全配置之Content-Security-Policy(csp)
weixin_30326745的博客
12-23 1957
什么是CSP CSP全称Content Security Policy ,可以直接翻译为内容安全策略,说白了,就是为了页面内容安全而制定的一系列防护策略. 通过CSP所约束的的规责指定可信的内容来源(这里的内容可以指脚本、图片、iframe、fton、style等等可能的远程的资源)。通过CSP协定,让WEB处于一个安全的运行环境中。 有什么用? 我们知道前端有个很著名的”同源策略”,...
Content-Security-Policy缺失
07-29
Content-Security-Policy缺失是指在Web应用程序中缺少或未正确配置Content-Security-Policy。[1] Content-Security-Policy是一种安全策略,用于限制页面中可以加载的资源来源,以减少跨站点脚本攻击(XSS)和其他安全漏洞的风险。[2] 缺少或不安全Content-Security-Policy可能导致恶意脚本或资源被加载到页面中,从而使用户的数据和隐私受到威胁。 为了解决Content-Security-Policy缺失的问题,可以在HTML页面的部添加以下代码:[3] ``` <meta http-equiv="Content-Security-Policy" content="default-src 'self'"/> ``` 这个代码片段将设置Content-Security-Policy,限制页面中可以加载的资源只能来自同一域名('self')。这样可以有效地减少XSS攻击的风险。 除了Content-Security-Policy之外,还应该确保其他安全(如X-Content-Type-Options和X-XSS-Protection)也被正确配置,以提高Web应用程序的安全性。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值