action请求是什么_为什么你的网页需要 CSP?

最新推荐文章于 2023-04-07 17:24:36 发布
最新推荐文章于 2023-04-07 17:24:36 发布
阅读量203 收藏
点赞数
文章标签: action请求是什么 为什么os.chdir返回none 为什么使用了security 后台出不来了 控制网页frame vba 通过javax.mail发送邮件为什么超链接不生效

ea3e3aaa986020f9c1bac8c3e0ff1da3.png

内容安全策略(CSP)是一个 HTTP HeaderCSP 通过告诉浏览器一系列规则,严格规定页面中哪些资源允许有哪些来源, 不在指定范围内的统统拒绝。

使用它是防止跨站点脚本(XSS)漏洞的最佳方法。由于难以使用 CSP 对现有网站进行改造(可通过渐进式的方法),因此 CSP 对于所有新网站都是强制性的,强烈建议对所有现有高风险站点进行 CSP 策略配置。

为什么要配置

CSP 的主要好处就是可以全面禁止使用不安全的嵌入式 JavaScript。内联 JavaScript(无论是反射的还是存储的),意味着不正确的转义用户输入都可以被 Web 浏览器解释为 JavaScript 代码。通过使用 CSP 禁用嵌入式 JavaScript,你可以有效消除针对你站点的几乎所有 XSS 攻击。

注意,禁用内联 JavaScript 意味着必须从 src 标记加载所有 JavaScript 。直接在标记上使用的事件处理程序(例如 onclick )将无法正常工作,标记内的 JavaScript 也会通过。此外,使用 标签或 style 属性的内联样式表也将无法加载。因此为了让 CSP 易于实现,在设计站点时必须非常小心。

如何配置?

开启 CSP 很简单, 你只需要配置你的网络服务器返回  Content-Security-Policy  这个 HTTP Header  (有时你会看到一些关于X-Content-Security-Policy Header 的提法, 那是旧版本,你无须再如此指定它)。

除此之外, 元素也可以被用来配置该策略, 例如

<meta http-equiv="Content-Security-Policy" content="default-src 'self'; img-src https://*; child-src 'none';">

指令

无论是 header ,还是在 标签中指定,其值的格式都是统一的,由一系列 CSP 指令(directive)组合而成。

Content-Security-Policy: ; 

这里 directive,即指令,是 CSP 规范中规定用以详细详述某种资源的来源,比如前面示例中使用的 script-src,指定脚本可以有哪些合法来源,img-src 则指定图片的合法涞源,以下是常用指令:

  • base-uri 限制可出现在页面 标签中的链接。
  • child-src 列出可用于 worker 及以 frame 形式嵌入的链接。譬如: child-src https://youtube.com 表示只能从 Youtube 嵌入视频资源。
  • connect-src 可发起连接的地址 (通过 XHR, WebSockets 或 EventSource)。
  • font-src 字体来源。譬如,要使用 Google web fonts 则需要添加 font-src https://themes.googleusercontent.com 规则。
  • form-action 标签可提交的地址。
  • frame-ancestors 当前页面可被哪些来源所嵌入(与 child-src 正好相反)。作用于 , , 。该指令不能通过 指定且只对非 HTML文档类型的资源生效。
  • frame-src 该指令已在 level 2 中废弃但会在 level 3 中恢复使用。未指定的情况下回退到 tochild-src 指令。
  • img-src 指定图片来源。
  • media-src 限制音视频资源的来源。
  • object-src Flash 及其他插件的来源。
  • plugin-types 限制页面中可加载的插件类型。
  • report-uri 指定一个可接收 CSP 报告的地址,浏览器会在相应指令不通过时发送报告。不能通过 标签来指定。
  • style-src 限制样式文件的来源。
  • upgrade-insecure-requests 指导客户端将页面地址重写,HTTP 转 HTTPS。用于站点中有大量旧地址需要重定向的情形。
  • worker-src CSP Level 3 中的指令,规定可用于 worker, shared worker, 或 service worker 中的地址。

预设值

除了配置指定的涞源以外,这些指令还可以配置一些预定义的值来完成一些默认配置:

  • none 不匹配任何东西。
  • self 匹配当前域,但不包括子域。比如 example.com 可以,api.example.com 则会匹配失败。
  • unsafe-inline 允许内嵌的脚本及样式。是的,没看错,对于页面中内嵌的内容也是有相应限制规则的。
  • unsafe-eval 允许通过字符串动态创建的脚本执行,比如 eval,setTimeout 等。
ba7950936bd222c99bf7ce327d598151.png

如果页面中非得用内联的写法,还有种方式。即页面中这些内联的脚本或样式标签,赋值一个加密串,这个加密串由服务器生成,同时这个加密串被添加到页面的响应头里面。

weixin_39914863
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
什么叫action请求_ROS基础(二)动作(Action)编程
weixin_39617702的博客
01-11 5965
本篇作为第一篇ROS基础中的内容补充,讲解ROS中稍微进阶的内容,动作(Action)编程的相关操作 什么是动作(action)?一种问答通信机制带有连续反馈可以在任务过程中止运行基于ROS的消息机制实现5和发布/订阅一样,action的通信同样是分为客户端server和客户端client。由客户端向服务端的话题接口有:goal: 发布任务目标cancel: 请求取消任务...
action请求是什么意思_导演总是挂在嘴边的“action”和“cut”是什么专业术语吗?...
热门推荐
weixin_39942488的博客
11-27 1万+
点击蓝字关注我们当演员拍戏时镜头准备启动导演通常会在镜头后喊“action”(开拍)当演员表演达不到导演要求时导演则会一遍遍喊"卡(cut)"有些小伙伴很疑惑这两个词是影视圈的专业用语吗?“action”和“cut”本意并非如此这是逐渐演变出来的含义首先这两个词有开始和剪掉的含义其次action和cut的发音相比于其他单词更有爆发力A C T I O Naction 作为动名词,有:...
action请求是什么_看我发现了什么好东西? Java Optional,绝对值得一学 | 原力计划...
weixin_39911567的博客
11-10 239
作者 | 沉默王二来源 | CSDN博客头图 |付费下载自视觉中国出品 |CSDN(ID:CSDNnews)想学习,永远都不晚,尤其是针对 Java 8 里面的好东西,Optional 就是其中之一,该类提供了一种用于表示可选值而非空引用的类级别解决方案。作为一名 Java 程序员,我真的是烦透了 NullPointerException(NPE),尽管和它熟得就像一位老朋友,知道它...
action请求是什么意思_redux 文档到底说了什么(上)
weixin_39545329的博客
11-16 543
前言最近又认真重读了一遍 redux 的文档,不出意料,还是一样的晦涩难懂。虽然文档写得不怎么样,但是里面确实给了很多比较好的代码组织方式,推荐了很多很有用的工具和插件,也慢慢地理解为什么这么简单的一个状态中心可以搞出这么多概念和库。redux 文档除了一些概念的介绍,主要包含了怎么只用 redux 这个库来组织 redux 代码怎么用 redux-toolkit 的 API 更智能地组织 red...
Action类和action请求
Marcus Hold Coding
11-17 1782
WEB资源:       HttpServletRquest,HttpServletSession,Cookie等,原生Servlet  API   Servlet访问WEB资源的方式     Servlet API解耦的方式(只能访问到有限的Servlet API对象和方法)        >使用ActionContext import java.util.Map;
信息安全_数据安全_3_ZN2018_WV_-_CSP_bypass.pdf
08-21
CSP通过允许网站管理员定义允许加载的资源类型和来源来强化网页的安全性。这种策略限制了浏览器加载的内容,确保只有指定的源可以提供脚本、图像、样式表等,从而降低被恶意代码利用的风险。 CSP主要通过HTTP头部...
CSP:内容安全策略详解.zip
最新发布
03-31
CSP通过在HTTP或HTTPS响应头中设置一个特定的字段来启用,为网页提供了一道额外的安全防线。 **一、CSP的起源与目标** CSP的概念最早由Google提出,旨在应对日益严重的XSS攻击。XSS攻击是黑客通过注入恶意脚本,...
Secure-headers-test-app:使用 secure_headers gem 作为 CSP 游乐场的 Rails 4.2 应用程序
06-20
在Ruby on Rails开发中,确保应用程序的安全性是至关重要的,特别是在处理网络请求和响应时防止恶意攻击。"Secure-headers-test-app"是一个专为演示如何使用`secure_headers` gem实现内容安全策略(Content Security...
ASP.NET Core中如何利用Csp标头对抗Xss攻击
10-16
为了对抗这种威胁,开发者可以利用Content Security Policy(CSP)标头,这是一种安全机制,用于规定网页上允许执行和加载的内容来源。本文将详细介绍如何在ASP.NET Core中配置和使用CSP来防御XSS攻击。 内容安全...
安全产品信息网页模板
01-21
4. **内容安全策略(CSP)**:设置CSP可以限制网页加载的资源类型和来源,防止恶意脚本执行和数据泄露。 5. **更新与维护**:模板应定期更新,修复已知的安全漏洞,保持与最新安全标准同步。 接下来,网页模板的...
Action获取请求参数的三种方式
01-20
方式一:Action本身作为Model对象,通过属性注入(Setter)方法讲参数数据封装到Action中     具体为:在Action中,提供和参数名相同的几个属性,并为其提供set方法,那么,该参数会被自动封装     到该几个属性中.         方式二:创建独立的Model对象,还是通过属性注入的方法将请求数据封装到Model对象中     具体为:另外创建一个专门的类,并在其中添加几个和请求参数名相同的属性,,此时,在表单中,需要讲参数名,     写成Model的一个具体对象名.参数名的方式,然后在Action中,需要定义一个Model的一个具体对象,并为该对象
Action请求与普通请求
qq_41974570的博客
04-07 1701
Action请求Action请求源自于Struts框架,每访问一次Action就是一次Action请求
页面发送action请求
lxqguoke的专栏
03-20 457
页面发送action请求: window.location.href='userAction';
action请求_Django的请求生命周期
weixin_39955925的博客
11-22 339
1. 概述首先我们知道HTTP请求及服务端响应中传输的所有数据都是字符串.在Django中,当我们访问一个的url时,会通过路由匹配进入相应的html网页中.Django的请求生命周期是指当用户在浏览器上输入url到用户看到网页的这个时间段内,Django后台所发生的事情而Django的生命周期内到底发生了什么呢??1. 当用户在浏览器中输入url时,浏览器会生成请求头和请求体发给服务端 请求头和...
Action获取请求参数的三种方式中的第一种
weixin_33736832的博客
05-03 92
1,把action本身做为封装对象 smile.jsp页面 struts.xml action类,及页面提交后,在后台打印的结果 转载于:https://www.cnblogs.com/Girlir/p/8983555.html
Java就业面试技巧有哪些 SSH框架有什么面试题
qq_43444478的博客
11-04 344
Java就业面试技巧有哪些?SSH框架有什么面试题?目前常用的Java框架有很多,其中SSH(SpringMVC、Spring、Hibernate)是很多企业在招聘过程中经常提及的,接下来就给大家分享一下有关SSH框架的面试题。 1、什么是Spring? Spring是一个容器,可以接管各个层次的Bean(action/domain/pojo/javabean),并且可以...
action请求是什么意思_html form标签的action属性是什么意思?又有哪些用法?(附实例)
weixin_39843215的博客
11-19 2017
本篇文章主要的介绍HTML form表单标签的action属性的用法,用法介绍和实例等都在里面,现在让我们一起来看吧首先我们先来介绍一下关于HTML form标签的action属性的意思:form标签的action属性是一个表单当中必须的属性,action属性规定当提交表单时,向何处发送表单数据。先看个第一个关于form标签action属性的实例:下面的表单拥有两个输入字段以及一个提交按钮,当提交...
GET和POST请求的区别(前端面试必问)
qq_36367494的博客
04-22 1168
var request = new XMLHttpRequest();request.open("GET", "server.php?number=" + document.getElementById("keyword").value); request.send();var request = new XMLHttpRequest(); request.open("POST", "server...
什么是Content Security Policy(CSP)?
10-16
Content Security Policy(CSP)是一种安全机制,用于减少和防止跨站点脚本(XSS)攻击、数据注入攻击等常见的安全漏洞。CSP通过指定哪些来源可以被信任来限制浏览器加载和执行资源的范围,从而减少恶意代码的攻击面...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值