对未标记为可安全执行的脚本_内容安全政策对您的隐私扩展程序说“再见”

某些技术正被作为标准采用，因为它们提高了网站和访问它们的用户的安全级别。内容安全策略是一层额外的安全层，可以帮助浏览器防止特定网络攻击的发生，并且它被广泛采用，作为所有网站和浏览器的基本安全措施。

其受欢迎程度背后的原因是它有助于防止某些类型的攻击，即跨站点脚本和其他数据注入威胁。

这时你可能会发现自己在思考一个问题：内容安全首先做什么？像 CSP 这样的安全措施如何将在线隐私置于风险之中？而且，避免这种风险的最佳方法是什么？

在全面深入探讨其中每一个问题之前，您需要了解为什么内容安全策略很重要。您还需要识别决定完全忽略 CSP 的用户所涉及的威胁。除此之外，我们将采用最佳选项，以安全保护您的身份，同时防止网络攻击。

• Same Origin Policy同源策略

在了解 CSP 之前，您需要熟悉几个术语。第一个也是最重要的是同源策略，也称为SOP。创建同源策略是为了防止未经授权的网站访问来获取存储在网站中的某些敏感信息。

SOP 将许多元素分离到隔离环境中，包括 Cookie 和 Javascript 脚本。例如，如果网站www.firstsite.org包含加载第二个页面(如www.secondsite.org)的 HTML 元素，则第一个站点将无法访问第二个站点的 Cookie 或将其注入 Javascript 脚本，反之亦然。

即使它们两个都在同一浏览器窗口中运行并显示相同的 URL，由于单一源策略，两者都无法提取信息或在其他站点的源上运行 Javascript 脚本。

此机制禁止访问跨源内容，并且阻止随机网站在登录 Twitter 或 Paypal 帐户时读取或更改数据。

您可能已经猜到，SOP 已成为当今所有浏览器中最重要的安全原则之一。它基本上为其他安全标准设定了前提，这些标准围绕着只允许访问授权源。

从理论上讲，同源政策是一个完美的解决方案。但是，攻击者很快设计了绕过它的方法，这些方法对网站和用户都造成了重大安全威胁。

• Cross-Site Scripting (XSS) Attacks什么是跨站点脚本 (XSS)

攻击？

跨站点脚本(也称为 XSS)是一种可帮助绕过同源策略的方法。XSS 攻击是一个主要问题，因为攻击者在未检测到的情况下将恶意脚本注入受信任的网站。不知道这一点，用户可能会被引诱点击链接或执行不安全的脚本。

有许多缺陷漏洞允许跨站点脚本攻击，并且可以通过多种方式加以利用。每当网站使用不清理用户输入的动态 HTML 时，攻击者都可以引入自己的恶意代码。

当通过这些渠道引入恶意代码时，Web 浏览器会将代码视为来自正在执行的网站，因此，它将很乐意执行该任务，而无需关注或识别任何威胁。

XSS 攻击会针对不谨慎的用户，并发送执行大量任务的恶意脚本。用户根本不知道他们收到任何脚本，他们的浏览器会乐于地执行它们，因为他们似乎来自受信任的来源。

跨站点脚本攻击可能会注入恶意脚本，这些脚本可能会访问 Cookie 文件、来自网页上下文中的其他网站数据以及各种敏感信息。严重的攻击甚至可以重写 HTML 页面的内容，这可能会导致长期扩展的安全问题。访问此信息将使攻击者能够查看敏感信息并代表用户来做出发出请求的动作。

我们记录过许多值得注意的 XSS 攻击，其中一些涉及情报机构、社交媒体网络，甚至主要的电子邮件平台。例如，在2000年代中期，一种名为Samy的XSS蠕虫在病毒推出几小时后就向100多万Myspace用户传播，成为传播速度最快的病毒之一。

跨站点脚本编写已成为导致 CSP 发展的主要问题，从而设定了更高的安全标准。现代浏览器的最大问题，以及使它们容易受到 XSS 攻击的原因，是它们无法区分可信和可疑的域。当您通过浏览器发出请求时，它会愉快地执行所有接收的脚本，因为它无法判断哪些脚本可以信任或不能信任。

• Content Security Policy内容安全策略

现在，我们讲到了 SOP 和 XSS 攻击，可以开始讲述涵盖内容安全策略的内容了。如前所述，CSP 是一层额外的安全层，使网站能够创建可在该网站上下文中信任的资源白名单。实现 CSP 时，浏览器将忽略对未显示在白名单中的源的所有请求。

如果没有 CSP，浏览器容易受到各种形式的 XSS 攻击，因为它们无法区分属于站点的脚本和第三方注入的脚本。

当您访问使用 CSP 的网站时，该网站会向您的浏览器发送源列表。然后，您的浏览器遵守并执行对白名单中显示的源发出的任何请求。

对于实现 CSP 的网站，您的浏览器将确保脚本的源代码在遵守之前位于白名单中。如果源未列为安全，您的浏览器将完全忽略请求。这样，即使您访问的站点中注入恶意脚本，CSP 也能使浏览器能够识别这些恶意脚本并完全忽略它们。

从所有这些信息中可以看出，CSP实际上是一个伟大的安全工具。那么，它如何影响在线隐私呢？

使用 CSP 的隐私含义

内容安全策略是一个很好的安全措施，因为它有助于防止网络攻击。遗憾的是，使用 CSP 也直接导致隐私问题。在介绍这些后果之前，我们必须回顾下CSP 的基础知识，了解有关第一个版本的更多内容，并了解现代 CSP 的工作原理。

称为 CSP 1.1 的版本已经被广泛使用并作为标准被接受，但是，它基于作为前置体创建的第一个策略。第一个版本称为CSP 1.0，旨在抵御和防范 XSS 攻击。CSP 1.0 还指出，网站不应干扰用户安装的任何浏览器扩展的操作。

然而，在 CSP 1.1 发布后，该模型已经过时，所有主要 Web 平台正在慢慢采用该模式。CSP 1.1，有时称为严格的 CSP，可能会干扰扩展并阻止它们向网站注入脚本。这意味着流行的隐私扩展(如用户代理切换器和随机代理欺骗器)不适用于具有严格策略的网站。

这给希望保持高度隐私和逃避侵入性 Web 跟踪的用户带来了巨大的问题。由于扩展无法更改浏览器的状态，因此它们依赖于向网站注入 Javascript 来更改参数并防止浏览器指纹识别。这样的作法很聪明，不是吗？

但是，使用 CSP 1.1 的网站可能会阻止扩展重写页面的内容，包括 Javascript 脚本。由于隐私扩展在页面代码中注入 Javascript，因此它们完全停止工作。

如果网站使用浏览器指纹机制，可以通过隐私扩展进行打击，则该网站可能会实现 CSP 1.1，因此可能会阻止这些扩展工作。换句话说，他们将能够成功跟踪和指纹用户。

值得一提的是，CSP 1.1 的某些配置允许扩展将脚本注入网站并重写页面内容，但此选项通常不是任何网站的首选。他们有使用 CSP 配置的动机，这些配置禁用阻止浏览器指纹识别的扩展。通过这样做，网站可以提高安全级别，同时有效地识别访问者。

此时，Facebook、Twitter 和 Github 等热门平台使用 CSP 配置，允许扩展将脚本注入网站。但是，CSP 1.1像野火一样蔓延，而且由于网站有禁用扩展的额外动机，大多数主要网站开始进行切换。

例如，PayPal 已经切换到 CSP 1.1 的配置，不允许第三方脚本注入，因此无法再在其网站上使用隐私扩展。

如何确定网站是否使用CSP

如果您想知道您定期访问的任何网站是否使用CSP，则可以按照以下说明验证CSP在该网站上是否处于活动状态。

如何检查网站是否使用CSP：

•在任何基于Chromium的浏览器中打开网站，例如 Chrome

•右键单击网站上的任意位置，然后选择“检查”

•转到“网络”标签

•现在单击F5刷新页面

•在页面加载期间，所有请求都应显示在检查器中

•单击请求列表中的第一行(请求列表在“标题”标签下)

•如果在“响应标题”部分中看到“内容安全策略”，则表示CSP已打开

CSP 和浏览器指纹识别

实施 CSP 有助于防止数据注入攻击，但在联机隐私和浏览器指纹识别方面，它们也会带来大问题。由于 CSP 1.1，以前允许用户在不损害其身份的情况下浏览 Web 的隐私扩展可能会遇到问题。

这并不意味着在线隐私注定会被追踪，但它应该更多的是一个警告，隐私扩展将很快成为过时的产品。隐私扩展(如用户代理切换器和随机代理欺骗器)依赖于向网站注入脚本，以便有效地操作指纹参数。

如果没有在线隐私扩展，您更容易受到浏览器指纹和由此带来的负面影响的影响。正如我们前面提到的，这个特点是鼓励网站使用不便于扩展的 CSP 1.1 版本，而不是允许扩展运行且没有任何中断的配置。

防止 XSS 攻击和浏览器指纹识别

CSP 已成为所有主要浏览器的关键组件，该技术本身具有许多优点。尽管存在一些在线隐私问题，但可以通过使用正确的方法来缓解这些影响。

请记住，关闭 CSP 不仅会使您的设备面临网络攻击的风险，而且还会创建额外的指纹。大多数浏览器都主动允许 CSP，因此关闭它会使您因为在您的浏览器上禁用了此安全功能，从而使您更加可识别。

VMLogin多账号防关联超级浏览器 为您提供了一个可行的替代浏览器指纹打击的解决方案。此外，用户经常问我们，VMLogin多账号防关联超级浏览器 在面对使用CSP 1.1 的网站时有何反应，但我们想告诉您的是无需为此担心，我们已经充分考虑到此问题，并且在VMLogin中文版制作之初就考虑到了这个关键环节。

如果您使用其他浏览器指纹修改工具 与Chrome、火狐或任何其他"常规"浏览器结合使用，默认情况下它们会完全忽略 CSP。但是，这并不理想，因为它使您的浏览器容易受到 XSS 攻击，而且请记住，CSP 1.1 可以关闭所有隐私扩展并显示用户的浏览器指纹，类似这样的方法很难做到彻底的防止真实指纹被泄露。

有助于维持较高水平的在线隐私并防止XSS攻击的最佳解决方案可能是使用不依赖于将Javascript注入网站的指纹管理方法。

VMLogin中文版多账号防关联超级浏览器可以帮助您在访问使用CSP 1.1 的网站时保持高水平的在线隐私。因为它已经捆绑了VMLogin多账号防关联超级浏览器允许您有效地打击浏览器指纹，同时仍然受到保护，免受XSS攻击。

VMLogin多账号防关联超级浏览器 在加载使用Javascript 的页面时不像大多数扩展一样管理参数，而是在启动浏览器时配置浏览器的参数。这意味着您可以使用符合CSP 的浏览器，在隐藏真实信息的同时，保护您免受 XSS 攻击。

结论

内容安全策略提供了一个良好的网络安全环境，有助于防止数据注入攻击。话虽如此，CSP 1.1政策也提供了一个巨大的漏洞，可以使隐私扩展完全无用。

事实是，CSP也并不完美，但它将很快成为所有互联网平台的关键组成部分，无论规模大小。此外，大部分最流行的网站倾向于CSP 1.1，因为它可以禁用隐私扩展并允许有效的指纹识别。隐私扩展现在可能仍在热门网站上工作，但由于 CSP 1.1 的普及，它们有过时的危险。

在保持高度隐私的情况下防止 XSS 攻击的最佳方法是使用具有指纹管理功能的浏览器。

VMLogin多账号防关联超级浏览器可以配置用于识别指纹的参数，一旦浏览器启动。这将有助于您保持高度的隐私，而 CSP 可保护您免受数据注入威胁的影响。