随手记——前端安全策略 Content-Security-Policy – CSP

已于 2023-07-19 14:55:10 修改
阅读量2.9k 收藏 1
点赞数
分类专栏: javascript 文章标签: javascript
于 2023-07-19 14:53:08 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42260975/article/details/131807972
版权
文章讨论了在前端Meta标签中配置Content-Security-Policy(CSP)安全策略后,引入第三方地图组件导致的报错。原配置禁止了unsafe-eval,从而影响了WebAssembly的运行。通过修改CSP配置,允许unsafe-eval,成功解决了问题。CSP是一种用于增强网页安全性,防止跨站脚本攻击的机制。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

随手记——前端安全策略 Content-Security-Policy – CSP

一、问题

1. 问题:前端meta标签中配置了CSP安全策略,导致使用第三方地图插件的时间报错不展示
2. 原安全配置

<meta http-equiv="Content-Security-Policy" content="
      script-src * 'unsafe-inline' 'unsafe-hash' ;
      worker-src blob:; 
      child-src blob: gap:;
      img-src * blob: data:;
      default-src * 'self' unsafe-inline  'unsafe-hash' 'unsafe-eval' gap: content: data: bolb: gw.alipayobjects.com file.scmsafe.com wl.sinovacbio.cn localhost:*;
      connect-src * ; 
      style-src * 'unsafe-eval'  'unsafe-hash' 'unsafe-inline' data: gap: content:" />

3. 引入第三方地图组件后报错

<script type="text/javascript"
  src="https://api.map.baidu.com/api?type=webgl&v=1.0&ak="></script>

WebAssembly.instantiate(): Refused to compile or instantiate WebAssembly module because 'unsafe-eval' is not an allowed source of script in the following Content Security Policy directive: "script-src * 'unsafe-inline' 'unsafe-hash'"
4. 修改后的安全配置

<meta http-equiv="Content-Security-Policy" content="
      script-src * 'unsafe-inline' 'unsafe-eval';
      worker-src blob:; 
      child-src blob: gap:;
      img-src * blob: data:;
      default-src * 'self' unsafe-inline  'unsafe-eval' gap: content: data: bolb: gw.alipayobjects.com file.scmsafe.com wl.sinovacbio.cn localhost:*;
      connect-src * data:; 
      style-src * 'unsafe-eval' 'unsafe-inline' data: gap: content:" />

二、CSP讲解

内容讲解借鉴:https://blog.csdn.net/qq_32247819/article/details/124446652

重点纪要
1. 使用方法:在<meta>标签中使用,例如:

<meta http-equiv="Content-Security-Policy" content=" script-src * ">

2.语法
由指令与指令值组成:指令与指令值之间用空格隔开,一个指令下的多个指令值用空格隔开,多个指令之间用分号隔开,例如:content="指令1 指令值a1 指令值a2; 指令2 指令值b;"
3.CSP指令
在这里插入图片描述

4.CSP指令值
在这里插入图片描述

前端安全配置之Content-Security-Policy(csp)
weixin_30326745的博客
12-23 2147
什么是CSP CSP全称Content Security Policy ,可以直接翻译为内容安全策略,说白了,就是为了页面内容安全而制定的一系列防护策略. 通过CSP所约束的的规责指定可信的内容来源(这里的内容可以指脚本、图片、iframe、fton、style等等可能的远程的资源)。通过CSP协定,让WEB处于一个安全的运行环境中。 有什么用? 我们知道前端有个很著名的”同源策略”,...
Vue进阶(三十三)Content-Security-PolicyCSP)详解_content-security-policy前端和后端
2401_89225162的博客
12-18 1617
CSP) 是一种加固 Web 应用的安全性技术,通过在网站页面中设置 CSP Header 来限制页面中能够执行的脚本、样式、图片等资源。CSP 包括很多不同的策略,因此安全设置的具体值取决目标网站的需求和资源使用情况。一般而言,建议设置较为严格的 CSP,以避免XSSCSRF等安全问题。以上设置的 CSP 规则禁止所有来自第三方网站的资源,只允许本网站的资源加载。其中script-src只允许本网站和 example.com 的脚本加载,img-src只允许本网站和 data: URI 的图片加载,
Vue进阶(三十三)Content-Security-PolicyCSP)详解
IT全栈 华强工作室
09-05 9952
跨域脚本攻击(XSS)是最常见、危害最大的网页安全漏洞。XSS 攻击利用了浏览器对于从服务器所获取的内容的信任。恶意脚本在受害者的浏览器中得以运行,因为浏览器信任其内容来源,即使有的时候这些脚本并非来自于它本该来的地方。为了防止它,要采取很多编程措施(比如大多数人都知道的转义、过滤HTML)。很多人提出,能不能根本上解决问题,即浏览器自动禁止外部注入恶意脚本?这就是"内容安全策略"(,缩写CSP)的由来。CSP
网站网络安全技术防范
最新发布
ztc131450的博客
03-13 1302
一般来说,利用了在http传输信息以明文方式进行传输的漏洞,攻击者如运营商直接拦截后端返回的内容,并且往内容插入一些字段,浏览器则会渲染经中间人修改后的内容。
前端安全-内容安全策略CSPContent Security Policy
AIWWY的博客
03-20 3244
可以通过CSP指定策略来规定页面加载的内容来源(这里的内容可以指脚本、图片、iframe、style等等可能的远程的资源)。Content-Security-Policy-Report-Only表示不会限制加载的内容,只是对加载内容不符合策略要求的进行上报,通过HTTP 请求发送到指定URI。可以把指令理解为属性,指令值理解为属性对应的值,一个属性可对应多个值,多值之间以空格分割,属性之间以分号分割。策略集由指令、空格、指令值、分号组成,不同的指令值之间以空格分割,不同指令之间以分号(
koa-csp:用于设置响应头:Content-Security-Policy
02-03
这是Koa2中间件,用于设置响应标头Content-Security-Policy 安装 npm install koa-csp yarn add koa-csp 用法 import Koa from 'koa' ; import csp from 'koa-csp' ; const app = new Koa ( ) ; app . use ( csp ( ...
Vue进阶(三十三)Content-Security-PolicyCSP)详解_content-security-policy前端和后端(1)
2401_84617302的博客
05-16 1137
CSP) 是一种加固 Web 应用的安全性技术,通过在网站页面中设置 CSP Header 来限制页面中能够执行的脚本、样式、图片等资源。CSP 包括很多不同的策略,因此安全设置的具体值取决目标网站的需求和资源使用情况。一般而言,建议设置较为严格的 CSP,以避免XSSCSRF等安全问题。以上设置的 CSP 规则禁止所有来自第三方网站的资源,只允许本网站的资源加载。其中script-src只允许本网站和 example.com 的脚本加载,img-src只允许本网站和 data: URI 的图片加载,
ContentSecurityPolicyFilter:一个可配置的Java Servlet过滤器,将“ Content-Security-Policy”标头添加到ServletResponse
05-02
内容安全策略过滤器(Java) 将“ Content-Security-Policy”或“ Content-Security-Policy-Report-Only”标头添加到响应中。 另请参阅: 通常,您只需要有限的数目,也不需要任何init参数。 如果未定义init参数...
content-security-policy.com:content-security-policy.com网站的源代码
04-27
内容安全策略Content Security Policy,简称CSP)是Web安全领域的一个重要机制,用于帮助防止跨站脚本攻击(XSS)和其他潜在的安全威胁。它允许网站管理员通过定义一组策略来控制页面可以加载哪些资源,比如...
前端内容安全策略csp
2401_83621918的博客
04-12 504
CSP全称Content Security Policy ,可以直接翻译为内容安全策略,说白了,就是为了页面内容安全而制定的一系列防护策略. 通过CSP所约束的的规责指定可信的内容来源(这里的内容可以指脚本、图片、iframe、fton、style等等可能的远程的资源)。csp是一个额外的安全层,用于检测并削弱某些特定类型的攻击,包括跨站脚本 (XSS) 和数据注入攻击等。无论是数据盗取、网站内容污染还是散发恶意软件,这些攻击都是主要的手段通过CSP协定,让WEB处于一个安全的运行环境中。有什么用?
2024世界技能大赛某省选拔赛“网络安全项目”B模块--数字取证解析
2401_84247760的博客
04-28 414
在结束之际,我想重申的是,学习并非如攀登险峻高峰,而是如滴水穿石般的持久累积。尤其当我们步入工作岗位之后,持之以恒的学习变得愈发不易,如同在茫茫大海中独自划舟,稍有松懈便可能被巨浪吞噬。然而,对于我们程序员而言,学习是生存之本,是我们在激烈市场竞争中立于不败之地的关键。一旦停止学习,我们便如同逆水行舟,不进则退,终将被时代的洪流所淘汰。因此,不断汲取新知识,不仅是对自己的提升,更是对自己的一份珍贵投资。让我们不断磨砺自己,与时代共同进步,书写属于我们的辉煌篇章。需要完整版PDF学习资源私我。
CSP:内容安全策略前端深入解析
wujiayu31415的博客
07-29 1090
通过合理配置CSP策略,并利用报告模式进行测试和优化,可以显著提升Web应用的安全性,防范跨站脚本攻击等安全威胁。浏览器在加载和执行资源时,会根据这些指令进行严格的验证,只有符合规则的资源才会被加载和执行。在某些情况下,Web应用可能需要加载来自不同来源的内容,如iframe、嵌入的脚本或样式表等。:在报告模式下,CSP可以记录违反策略的行为,帮助开发者发现并修复潜在的安全问题,而不影响用户的正常访问。用于控制嵌入内容的来源等。:通过实施CSP,网站可以向用户展示其对安全性的重视,增强用户对网站的信任度。
网络安全就业前景好不好?0基础可以学吗?_入门级网络安全工程师好就业吗
2401_84301948的博客
04-27 427
对于从来没有接触过网络安全的同学,我们帮你准备了详细的。可以说是,大家跟着这个大的方向学习准没问题。
前端面试笔记11:前端安全之 CSP
qq_52287721的博客
01-02 3269
前端安全 CSP 文章目录前端安全 CSP什么是 CSP?如何开启 CSP?CSP 的用途 什么是 CSPCSP 指的是内容安全策略,它的本质是建立一个白名单,告诉浏览器哪些外部资源可以加载和执行。我们只需要配置规则,如何拦截由浏览器自己来实现。 如何开启 CSP? 通常有两种方式来开启 CSP,一种是设置 HTTP 首部中的 Content-Security-Policy,一种是设置 meta 标签的方式:<meta http-equiv="Content-Security-Policy"&gt
WEB应用内容安全策略(Content Security Policy)
A_991128a的博客
01-15 4600
它通过让开发者对自己WEB应用声明一个外部资源加载的白名单,使得客户端在运行WEB应用时对外部资源的加载做出筛选和识别,只加载被允许的网站资源.对于不被允许的网站资源不予加载和执行.同时,还可以将WEB应用中出现的不被允许的资源链接和详情报告给我们指定的网址.如此,大大增强了WEB应用的安全性.使得攻击者即使发现了漏洞,也没法注入脚本,除非还控制了一台列入了白名单的服务器.使用这种模式,将会直接阻止非法的外部资源加载,同时也可以选择是否配置将非法资源加载的链接和行为报告给我们指定的网址。
前端内容安全策略csp),web开发毕业谁
2401_84093860的博客
04-05 378
前端CSS面试题文档,JavaScript面试题文档,Vue面试题文档,大厂面试题文档,需要的读者可以戳这里免费领取!需要的读者可以戳这里](https://bbs.csdn.net/topics/618191877)免费领取!**[外链图片转存中…(img-Yk7qY5tY-1712308940438)][外链图片转存中…(img-vFrjuEUW-1712308940438)]
深入解析前端安全性:构建强大的安全防线
Jerry_zpon的博客
03-31 1409
前端安全性是构建安全应用程序的重要一环。通过深入了解前端安全威胁、采取有效的防御策略和实践、利用安全工具和库以及保持持续的学习和关注,我们可以构建一道强大的安全防线,保护用户的数据和隐私安全。作为前端开发者,我们应该时刻保持警惕,将安全性作为重要的考虑因素之一,为用户提供更加安全、可靠的应用程序体验。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值