Content Security Policy

最新推荐文章于 2024-07-01 21:19:57 发布
最新推荐文章于 2024-07-01 21:19:57 发布
阅读量1.1k 收藏
点赞数 1
分类专栏: Apache Cordova 文章标签: Content Security Policy
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_41584401/article/details/79373183
版权

今天做手机Apace Cordova遇到这样一个问题:


刚开始看了吓一跳,这是什么鬼,然后,百度了一下,发现是这个网页为了防止其他跨域脚本攻击造成的。

解决方案:就是把脚本放在外面即可。不要写在这个页面里。

原因详细解剖:

    <meta http-equiv="content-security-policy" content="default-src 'self' data: gap: https://ssl.gstatic.com 'unsafe-eval'; style-src 'self' 'unsafe-inline'; media-src *">

页面这句代码造就了这个错误的产生。这句代码的用处就是跨域脚本攻击 XSS

跨域脚本攻击 XSS 是最常见、危害最大的网页安全漏洞,为了防止它们,要采取很多编程措施,非常麻烦。很多人提出,能不能根本上解决问题,浏览器自动禁止外部注入恶意脚本?这就是"网页安全政策"(Content Security Policy,缩写 CSP)的来历

CSP 的实质就是白名单制度,开发者明确告诉客户端,哪些外部资源可以加载和执行,等同于提供白名单。它的实现和执行全部由浏览器完成,开发者只需提供配置。CSP 大大增强了网页的安全性。攻击者即使发现了漏洞,也没法注入脚本,除非还控制了一台列入了白名单的可信主机

两种方法可以启用 CSP。一种是通过 HTTP 头信息的Content-Security-Policy的字段。

Content-Security-Policy: script-src 'self'; object-src 'none'; style-src cdn.example.org third-party.org; child-src https:

   另一种是通过网页的<meta>标签

<meta http-equiv="Content-Security-Policy" content="script-src 'self'; object-src 'none'; style-src cdn.example.org third-party.org; child-src https:">


详细了解:https://www.cnblogs.com/alisecurity/p/5924023.html


吖秧吖
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ContentSecurityPolicyFilter:一个可配置的Java Servlet过滤器,将“ Content-Security-Policy”标头添加到ServletResponse
05-02
内容安全策略过滤器(Java) 将“ Content-Security-Policy”或“ Content-Security-Policy-Report-Only”标头添加到响应中。 另请参阅: 通常,您只需要有限的数目,也不需要任何init参数。 如果未定义init参数,则Header将如下所示: Content-Security-Policy = default-src 'none' 这是ContentSecurityPolicyFilter的示例完整配置。 <filter> <filter>ContentSecurityPolicyFilter</filter> <filter>de.saville.csp.ContentSecurityPolicyFilter</filter>
内容安全策略(Content Security Policy
wuhuimin521的博客
08-14 2万+
内容安全策略(Content Security Policy) 内容安全策略(Content Security Policy)是一种声明的安全机制,可以让网站运营者能够控制遵循CSP的用户代理(通常是浏览器)的行为。通过控制要启用哪些功能,以及从哪里下载内容,可以减少网站的攻击面。CSP的主要目的是防御跨站点脚本(cross-st...
漏洞修复:检测到目标Content-Security-Policy响应头缺失
最新发布
yjfkeifk的博客
07-01 1070
对于 IIS,请参阅:https://technet.microsoft.com/pl-pl/library/cc753133%28v=ws.10%29.aspx。对于 nginx,请参阅:http://nginx.org/en/docs/http/ngx_http_headers_module.html。对于 Apache,请参阅:http://httpd.apache.org/docs/2.2/mod/mod_headers.html。名称:Content-Security-Policy
http内容安全策略Content Security Policy(CSP)
focus on security
08-24 5837
内容安全策略CSP是安全性的附加层,有助于检测和缓解某些类型的攻击,包括跨站点脚本(https://owasp.org/www-community/attacks/xss/)和数据注入攻击。这些攻击可用于从数据盗窃,站点损坏到恶意软件分发的所有方面。 CSP被设计为完全向后兼容(除CSP版本2,其中有在向后兼容性一些明确提到的不一致性)。不支持它的浏览器仍然可以与实现它的服务器一起使用,反之亦然:不支持CSP的浏览器只是忽略它,照常运行,默认为Web内容的标准同源策略。如果站点不提供CSP标头,则浏览器同
CSP 内容安全策略
阿道夫的博客
01-03 499
Content-Security-PolicyContent-Security-Policy-Report-Only,也可以同时使用,Content-Security-Policy带有策略强制性,而Content-Security-Policy-Report-Only中的策略只产生报告不具有强制性。CSP(Content-Security-Policy)内容安全策略,官方解释:CSP是一个额外的完全层,用于检测并小若某些特定类型的攻击,包括跨站脚本攻击XSS和数据注入攻击等。2. 前端通过标签进行配置。
内容安全策略 Content-Security-Policy
热门推荐
qq_30436011的博客
10-24 3万+
1、限制资源获取:限制网页当中一系列的资源获取的情况,从哪里获取,请求发到哪个地方限制方式:default-src限制全局的和链接有关的作用范围根据资源类型(connect-src、img-src等),限制资源范围2、报告资源获取越权:在网页当中获取了一些我们不应该获取的资源的时候,给服务进行报告,报告资源获取越权,然后做出调整之所以报这个错误,就是我们加了这个头的作用。这个时候 inline脚本还是不能执行的。如果引入外链的脚本文件,则会报错,这样就可限制,只能使用我们本站使用的脚本。
Content Security Policy Override-crx插件
04-02
语言:English 修改网页的内容安全策略。 允许用户修改网页的内容安全策略(CSP)。 警告:不当使用此插件会降低浏览器的安全性。 除非您真的知道自己在做什么,否则不要使用。 要编辑配置,请转到chrome:// ...
Content-Security-Policy.md
06-05
如何设置meta 标签防止XSS攻击,以及CSP的一些说明, CSP 大大增强了网页的安全性。攻击者即使发现了漏洞,也没法注入脚本,除非还控制了一台列入了白名单...一种是通过 HTTP 头信息的`Content-Security-Policy`的字段。
CSP(Content Security Policy)是一种用于增强 Web 应用程序安全性的安全标头.docx
04-01
### CSP(Content Security Policy)详解 #### 一、CSP 的基本概念 CSP,即内容安全策略(Content Security Policy),是一种安全策略机制,通过在HTTP响应头部定义一系列指令,指导浏览器仅加载符合策略规则的资源...
内容安全政策覆盖「Content Security Policy Override」-crx插件
03-09
修改web页面的内容安全策略。 允许用户修改网页的内容安全策略(CSP)。 警告:不当使用此插件会降低浏览器的安全性。 除非您真的知道自己在做什么,否则不要使用。 要编辑配置,请转到chrome:// extensions,然后...
Always Disable Content-Security-Policy-crx插件
04-02
对于Web应用程序测试,始终禁用Content-Security-Policy。 当图标为彩色时,将禁用CSP标头。 这是Phil Grayson扩展的一个分支,唯一的区别是此扩展默认情况下禁用标头。 原文:...
koa-csp:用于设置响应头:Content-Security-Policy
02-03
这是Koa2中间件,用于设置响应标头Content-Security-Policy 安装 npm install koa-csp yarn add koa-csp 用法 import Koa from 'koa' ; import csp from 'koa-csp' ; const app = new Koa ( ) ; app . use ( csp ( ...
content-security-policy.com:content-security-policy.com网站的源代码
04-27
内容安全策略(Content Security Policy,简称CSP)是Web安全领域的一个重要机制,用于帮助防止跨站脚本攻击(XSS)和其他潜在的安全威胁。它允许网站管理员通过定义一组策略来控制页面可以加载哪些资源,比如...
Disable Content-Security-Policy-crx插件
04-02
语言:English,English (UK) 禁用Web应用程序测试的内容安全策略。 当图标彩色时,CSP标题被禁用。 以您自己的风险使用。 这会禁用选项卡的内容安全策略标题。 在测试新的第三方标记包含在页面上的资源时使用此功能。...
Content-Security-Policy-sandbox:一个可以与CSP一起玩的lil应用程序
05-09
内容安全策略(Content Security Policy,简称CSP)是一种用于防止跨站脚本攻击(XSS)的安全机制。它允许网站管理员定义一个白名单,只允许加载和执行来自特定源的资源,从而有效地阻止了恶意代码的注入。在这个名...
fastify-csp:固定插件以设置Content-Security-Policy标头
05-08
固定插件以设置Content-Security-Policy标头。 为什么? 您可能知道是使用的。 您也可以将其用作fastify的中间件。 那么,为什么我做了这个插件? 您可能会在找到原因,并希望您喜欢它。 :) 区别 该插件已通过...
关于解决 https 网站无法加载 http 脚本
weixin_30408739的博客
03-31 1291
前几天刚配置好https网站 然后今天浏览发现自己网站的地图插件不见了 然后看了一下报错显示 然后百度搜索一番找到了解决办法 <meta http-equiv="Content-Security-Policy" content="upgrade-insecure-requests"> 可以在相应的页面的里加上这句代码,意思是自动将http的不安全请求升级为htt...
内容安全策略(content-security-policy
我的LOG
12-31 3万+
iframe 在使用iframe 的时候 <iframe style="border:0;width:100%;height:100%" src="https://github.com/join"/> 经查 报的是 Refused to frame ‘https://github.com/’ because an ancestor violates the following Content Security Policy directive: “frame-ancestors ‘non
content security policy
03-16
内容安全策略(Content Security Policy,CSP)是一种安全机制,用于防止跨站点脚本攻击(XSS)和其他恶意攻击。CSP允许网站管理员指定哪些来源可以加载特定类型的内容,例如JavaScript、CSS和图像。这有助于减少攻击者可以利用的攻击面,并提高网站的安全性。CSP可以通过HTTP头或HTML标记来实现。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值