随手记——前端安全策略 Content-Security-Policy – CSP

已于 2023-07-19 14:55:10 修改
阅读量2.6k 收藏
点赞数
分类专栏: javascript 文章标签: javascript
于 2023-07-19 14:53:08 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42260975/article/details/131807972
版权

随手记——前端安全策略 Content-Security-Policy – CSP

一、问题

1. 问题:前端meta标签中配置了CSP安全策略,导致使用第三方地图插件的时间报错不展示
2. 原安全配置

<meta http-equiv="Content-Security-Policy" content="
      script-src * 'unsafe-inline' 'unsafe-hash' ;
      worker-src blob:; 
      child-src blob: gap:;
      img-src * blob: data:;
      default-src * 'self' unsafe-inline  'unsafe-hash' 'unsafe-eval' gap: content: data: bolb: gw.alipayobjects.com file.scmsafe.com wl.sinovacbio.cn localhost:*;
      connect-src * ; 
      style-src * 'unsafe-eval'  'unsafe-hash' 'unsafe-inline' data: gap: content:" />

3. 引入第三方地图组件后报错

<script type="text/javascript"
  src="https://api.map.baidu.com/api?type=webgl&v=1.0&ak="></script>

WebAssembly.instantiate(): Refused to compile or instantiate WebAssembly module because 'unsafe-eval' is not an allowed source of script in the following Content Security Policy directive: "script-src * 'unsafe-inline' 'unsafe-hash'"
4. 修改后的安全配置

<meta http-equiv="Content-Security-Policy" content="
      script-src * 'unsafe-inline' 'unsafe-eval';
      worker-src blob:; 
      child-src blob: gap:;
      img-src * blob: data:;
      default-src * 'self' unsafe-inline  'unsafe-eval' gap: content: data: bolb: gw.alipayobjects.com file.scmsafe.com wl.sinovacbio.cn localhost:*;
      connect-src * data:; 
      style-src * 'unsafe-eval' 'unsafe-inline' data: gap: content:" />

二、CSP讲解

内容讲解借鉴:https://blog.csdn.net/qq_32247819/article/details/124446652

重点纪要
1. 使用方法:在<meta>标签中使用,例如:

<meta http-equiv="Content-Security-Policy" content=" script-src * ">

2.语法
由指令与指令值组成:指令与指令值之间用空格隔开,一个指令下的多个指令值用空格隔开,多个指令之间用分号隔开,例如:content="指令1 指令值a1 指令值a2; 指令2 指令值b;"
3.CSP指令
在这里插入图片描述

4.CSP指令值
在这里插入图片描述

幸福了,然后呢
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
koa-csp:用于设置响应头:Content-Security-Policy
02-03
koa-csp 这是Koa2中间件,用于设置响应标头Content-Security-Policy 安装 npm install koa-csp yarn add koa-csp 用法 import Koa from 'koa' ; import csp from 'koa-csp' ; const app = new Koa ( ) ; app . use ( csp ( ) ) ; // It is equivalent to app . use ( csp ( { enableWarn : true , policy : { 'default-src' : [ 'self' ]
前端安全-内容安全策略CSP(Content Security Policy)
AIWWY的博客
03-20 2936
可以通过CSP指定策略来规定页面加载的内容来源(这里的内容可以指脚本、图片、iframe、style等等可能的远程的资源)。Content-Security-Policy-Report-Only表示不会限制加载的内容,只是对加载内容不符合策略要求的进行上报,通过HTTP 请求发送到指定URI。可以把指令理解为属性,指令值理解为属性对应的值,一个属性可对应多个值,多值之间以空格分割,属性之间以分号分割。策略集由指令、空格、指令值、分号组成,不同的指令值之间以空格分割,不同指令之间以分号(
Chrome Plugin静态页面触发CSP如何解决CSP
weixin_42429220的博客
06-03 523
内容安全策略是一种计算机安全标准,旨在防御跨站脚本、点击劫持等代码注入攻击,阻止恶意内容在受信网页环境中执行。Manifest V3 对于内容安全策略有一些默认的设置,如禁止外部代码的执行,这主要是为了增强安全性。如果需要调整默认策略以允许执行更多类型的资源,可以通过修改 manifest.json 中的 content_security_policy 字段实现。
Vue进阶(三十三)Content-Security-PolicyCSP)详解
IT全栈 华强工作室
09-05 6400
跨域脚本攻击(XSS)是最常见、危害最大的网页安全漏洞。XSS 攻击利用了浏览器对于从服务器所获取的内容的信任。恶意脚本在受害者的浏览器中得以运行,因为浏览器信任其内容来源,即使有的时候这些脚本并非来自于它本该来的地方。为了防止它,要采取很多编程措施(比如大多数人都知道的转义、过滤HTML)。很多人提出,能不能根本上解决问题,即浏览器自动禁止外部注入恶意脚本?这就是"内容安全策略"(,缩写CSP)的由来。CSP
火狐浏览器的控制台报错:Content Security Policy!并且页面无法打开。
ThisEqualThis的博客
03-11 7682
CSP(Content Security Policy)指的是内容安全策略,为了缓解很大一部分潜在的跨站脚本问题,浏览器的扩展程序系统引入了内容安全策略CSP)的一般概念。 这将引入一些相当严格的策略,会使扩展程序在默认情况下更加安全,开发者可以创建并强制应用一些规则,管理网站允许加载的内容。 security.csp.enable是开关该功能的配置,不推荐随意关闭。 解决方法:在火狐浏览器地址...
谷歌插件中引入vue.js文件报错
xp275019的博客
12-18 935
谷歌插件中引入vue.js文件报错
前端面试:【前端安全】HTTPS、CORS、Content Security Policy
weixin_42132860的博客
08-24 554
本文将深入探讨三个关键的前端安全概念:HTTPS、CORS(跨源资源共享)和内容安全策略CSP),以帮助你确保你的应用程序和用户数据的安全性。在你的项目中积极实施这些措施,以确保你的应用程序在安全性方面得到充分保护。HTTPS、CORS和CSP是保护你的应用程序和用户数据安全的关键措施。CORS是一种安全机制,用于控制在不同源(域)的网页上的资源共享。HTTPS是一种用于加密数据传输的协议,它确保了在浏览器和服务器之间传输的数据是加密的,从而提供了数据隐私和完整性。在你的网站上启用HTTPS非常重要。
fastify-csp:固定插件以设置Content-Security-Policy标头
05-08
固定插件以设置Content-Security-Policy标头。 为什么? 您可能知道是使用的。 您也可以将其用作fastify的中间件。 那么,为什么我做了这个插件? 您可能会在找到原因,并希望您喜欢它。 :) 区别 该插件已通过...
Content-Security-Policy.md
06-05
如何设置meta 标签防止XSS攻击,以及CSP的一些说明, CSP 大大增强了网页的安全性。攻击者即使发现了漏洞,也没法注入脚本,除非还控制了一台列入了白名单...一种是通过 HTTP 头信息的`Content-Security-Policy`的字段。
content-security-policy.com:content-security-policy.com网站的源代码
04-27
内容安全策略(Content Security Policy,简称CSP)是Web安全领域的一个重要机制,用于帮助防止跨站脚本攻击(XSS)和其他潜在的安全威胁。它允许网站管理员通过定义一组策略来控制页面可以加载哪些资源,比如...
ContentSecurityPolicyFilter:一个可配置的Java Servlet过滤器,将“ Content-Security-Policy”标头添加到ServletResponse
05-02
内容安全策略过滤器(Java) 将“ Content-Security-Policy”或“ Content-Security-Policy-Report-Only”标头添加到响应中。 另请参阅: 通常,您只需要有限的数目,也不需要任何init参数。 如果未定义init参数...
csp:PSR-15中间件,将Content-Security-Policy标头添加到响应中
02-17
中间件/ csp 使用库在响应中添加标头的中间件。... composer require middlewares/csp例子use ParagonIE \ ...遗产为旧的浏览器生成旧的CSP标头( X-Content-Security-Policy和X-Webkit-CSP )。 默认情况下为true但您可
csp-builder:从JSON文件构建Content-Security-Policy标头(或以编程方式构建标头)
02-03
内容安全策略构建器 从JSON配置文件或以编程方式轻松地将Content-Security-Policy标头集成到您的Web应用程序中。 CSP Builder由创建,是我们鼓励更好的实践的工作的一部分。 也请查看我们的其他。 还有一个使用此库...
HTML5安全介绍之内容安全策略CSP)简介
01-19
万维网的安全策略植根于同源策略。...每个来源都与网络的其它部分分隔开,为开发人员构建了一个... 现在我们介绍一个全新的、有效的安全防御策略来减轻这种风险,这就是内容安全策略(ContentSecurity Policy,CSP)。
Disable Content-Security-Policy-crx插件
04-02
禁用Web应用程序测试的内容安全策略。 当图标彩色时,CSP标题被禁用。 以您自己的风险使用。 这会禁用选项卡的内容安全策略标题。 在测试新的第三方标包含在页面上的资源时使用此功能。 单击扩展图标以禁用选项卡...
csp-auditor:Burp和ZAP插件可分析Content-Security-Policy标头或通过爬网网站生成模板CSP配置
02-03
下载最后更新:2017年8月3日屏幕截图被动规则和自定义标签: 配置生成器:构建插件键入以下命令: ./gradlew build或者如果您已经在计算机上安装了Gradle: gradle build阅读更多有关Content-Security-Policy的更多...
保护网页免受点击劫持的Content Security Policy(CSP
weixin_42560424的博客
06-27 523
84. 保护网页免受点击劫持的Content Security Policy(CSP) 什么是点击劫持? 点击劫持(Clickjacking)是一种网络安全攻击技术,通过在一个网页上放置透明的或误导性的内容,诱使用户在不知情的情况下点击恶意操作。这种攻击技术可以欺骗用户并执行他们不想执行的操作,如点击隐藏的按钮或链接,可能导致敏感信息泄露、支付信息被篡改等风险。 Content Security Policy(CSP)的作用 Content Security Policy(CSP)是一种用于增强网页安全性的
什么是XSS、CSRF、CSP?如何防止攻击
tyxjolin的专栏
03-31 1313
前端安全是Web应用程序中一个重要的环节,它可以防止各种安全攻击的发生,保护Web应用程序的安全性和可靠性。在开发Web应用程序时,应该采用一系列的防范措施来保护前端安全。这些防范措施包括防止XSS攻击、防止CSRF攻击、使用CSP等。同时,Web应用程序也应该定期更新和升级,进行安全审计和渗透测试,发现并修复可能存在的安全问题。在实践中,要注意防止过度防御和盲目相信输入数据的情况。过度防御可能会导致Web应用程序的性能下降,同时也可能会引入新的安全漏洞。
Chrome插件:云音乐听歌识曲
梅花寺
05-23 2128
当你用网页在视频网站刷视频的时候,有没有碰到过一个 BGM 激起你内心的波澜,而你却不知道它的名字。此时只能打开手机进行听歌识曲,而通过一个浏览器的插件却更容易解决这个问题。不需要繁琐的掏出手机,也不会因为需要外放而干扰他人,更不会因为环境噪音而识别困难。 如果你恰好也有这个需要,不妨试一下云音乐出品的 Chrome 浏览器插件「云音乐听歌」,还可以直接进行红心收藏哦。也可以到插件官网预览实际运行的效果。 背景 目前 Chrome 商店上存在的听歌识曲插件,大都是国外出品,国内产品寥寥,对于国内音乐支持
浏览器设置策略Content-Security-Policy
最新发布
06-20
Content-Security-Policy (CSP) 是一种HTTP头部字段,用于帮助Web应用增强安全性,控制网页内容如何加载和执行。CSP允许开发者定义一系列规则,限制浏览器加载资源的来源、类型以及执行的脚本和样式等行为。这有助于防止跨站脚本攻击(XSS)、恶意代码注入、数据泄露等问题。 设置CSP主要包括以下几个关键点: 1. **基本策略**: 使用`content-security-policy`头部字段声明,例如: ``` Content-Security-Policy: default-src 'self'; ``` 这表示只允许从当前源加载内容。 2. **源策略**: `default-src`可以指定一组或单独的源,如: ``` default-src 'self' https: data:; ``` 这里指定了除了'self'之外还允许https和data:协议的资源加载。 3. **资源类型**: 可以使用`script-src`, `style-src`, `img-src`, `frame-src`等指令分别控制不同类型的资源加载来源。 4. **允许特定资源**: `connect-src`控制连接请求(如WebSocket),`font-src`控制字体资源,`media-src`控制媒体资源等。 5. **执行策略**: `script-src-elem`和`script-nonce`用于处理内联脚本,`child-src`管理嵌套框架。 6. **报告策略**: `report-uri`指定当违反策略时发送报告的URL,以便开发者收集安全事件信息。 7. **沙箱模式**: 使用`sandbox`属性或`sandbox`-related directives如`allow-scripts`、`allow-top-navigation`等进一步限制页面行为。 为了确保CSP的有效性,需要在服务器端配置并始终发送这个头部信息给客户端。同时,开发人员也需要遵循CSP策略来编写代码,避免潜在的安全风险。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值