【已解决】“Content-Security-Policy”头缺失

最新推荐文章于 2025-03-12 16:58:58 发布
最新推荐文章于 2025-03-12 16:58:58 发布
阅读量1w 收藏 7
点赞数 5
分类专栏: bug记录 文章标签: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45481821/article/details/131240781
版权

1、作用

简称CSP,意为内容安全策略,通过设置约束指定可信的内容来源,降低异源文件攻击,例如:js/css/image等

2、相关设置值

指令名

demo

说明

default-src

'self' cdn.example.com

默认策略,可以应用于js文件/图片/css/ajax请求等所有访问

script-src

'self' js.example.com

定义js文件的过滤策略

style-src

'self' css.example.com

定义css文件的过滤策略

img-src

'self' img.example.com

定义图片文件的过滤策略

connect-src

'self'

定义请求连接文件的过滤策略

font-src

font.example.com

定义字体文件的过滤策略

object-src

'self'

定义页面插件的过滤策略,如 <object>, <embed> 或者<applet>等元素

media-src

media.example.com

定义媒体的过滤策略,如 HTML6的 <audio>, <video>等元素

frame-src

'self'

定义加载子frmae的策略

sandbox

allow-forms allow-scripts

沙盒模式,会阻止页面弹窗/js执行等,你可以通过添加allow-forms allow-same-origin allow-scripts allow-popups, allow-modals, allow-orientation-lock, allow-pointer-lock, allow-presentation, allow-popups-to-escape-sandbox, and allow-top-navigation 策略来放开相应的操作

report-uri

/some-report-uri

3、示例:

default-src 'self';只允许同源下的资源

script-src 'self';只允许同源下的js

script-src 'self' www.google-analytics.com ajax.googleapis.com;允许同源以及两个地址下的js加载

default-src 'none'; script-src 'self'; connect-src 'self'; img-src 'self'; style-src 'self';多个资源时,后面的会覆盖前面的

4、在nginx配置文件中添加,例如:

add_header Content-Security-Policy "default-src 'self'";只允许同源下的资源

add_header Content-Security-Policy "upgrade-insecure-requests;content *";将本站内部http链接自动改为https,并不限制内容加载来源。

Nginx配置安全策略总结
智慧,不是知识、不是经验、不是思辩,而是超越自我中心的态度。
09-27 5529
基于AppScan安全扫描工具检测出来的服务器安全隐患,通过nginx负载的配置总结。
响应缺少或者配置了不安全content-security-policy属性_这些bug你遇到过几个?盘点10个常见安全测试漏洞及修复建议...
weixin_39559015的博客
11-21 1万+
随着互联网技术的飞速发展,业务的开展方式更加灵活,应用系统更加复杂,也因此面临着更多的安全性挑战。安全测试是在应用系统投产发布之前,验证应用系统的安全性并识别潜在安全缺陷的过程,目的是防范安全风险,满足保密性、完整性、可用性等要求。  日常测试过程中经常遇到开发同事来询问一些常见的配置型漏洞应该如何去修复,为了帮助开发同事快速识别并解决问题,通过总结项目的安全测试工作经验,笔者汇总、分析了应用系统...
修复Electron项目Insecure Content-Security-Policy(内容安全策略CSP)警告的问题
最新发布
编程菜鸟夜灵的日常...
03-12 436
img-src 'self' data::图片加载策略,可以引用同源图片;或使用data:URI来嵌入图片,这种URI模式允许将图片直接嵌入到html或css中,而不是通过外部链接引用。style-src 'self' 'unsafe-inline':样式表加载策略,引入样式时,可以是同源的,或者使用行内样式;default-src 'self':配置加载策略,默认引入外部资源时,只能是同源的;将以下代码粘贴进html的<header>标签内。解释一下上面代码中的属性含义。
Nginx 低风险漏洞更新
chenguibin10的专栏
12-18 556
检测到目标 X-Content-Type-Options响应缺失 这个暂时不开启,不然部分banner无法使用。# 检测到目标 X-Permitted-Cross-Domain-Policies响应缺失。# 检测到目标 Strict-Transport-Security响应缺失。# 检测到目标 Content-Security-Policy响应缺失。# 检测到目标 X-Download-Options响应缺失。# 检测到目标 X-XSS-Protection响应缺失
web安全: content-security-policy(简称csp)浏览器安全策略
TivonaLH的博客
01-11 4740
参考资料:https://www.cnblogs.com/heyuqing/p/6215761.html(csp简介) 中间件是tmcat,再过滤器中配置content-security-policy res.setHeader("Content-Security-Policy", "frame-ancestors'self'"); 参考资料:http://www.it1352.com/...
【已解决】IIS环境检测到网站存在响应缺失、禁用Options方法、解决跨域攻击等不安全
wangjunlei的专栏
04-16 2548
4、检测到目标X-Permitted-Cross-Domain-Policies响应缺失 重新配置IIS。5、检测到目标Strict-Transport-Security响应缺失 重新配置IIS。3、检测到目标Content-Security-Policy响应缺失 IIS设置。1、检测到目标X-Content-Type-Options响应缺失。6、点击劫持:X-Frame-Options未配置 重新配置IIS。2、检测到目标X-XSS-Protection响应缺失
网站扫描出的漏洞解决:检测到目标Content-Security-Policy、X-XSS-Protection/Content-Security-Policy响应缺失、加密算法等处理修复方法
本博客记录了从2014年以来在工作学习中遇到的技术问题、解决方法以及部分个人人生经历、经验等内容。
03-17 8451
Content Security Policy (CSP) 通过告诉浏览器一系列规则,严格规定页面中哪些资源允许有哪些来源, 不在指定范围内的统统拒绝,可以服务器添加 Content-Security-Policy 信息来指定规则解决。connect-src *会使安全进行升级,即一个http页面中所有调用的静态资源会自动升级使用https调用。但这样也会产生很多问题,如果调用的资源实际并不支持https的话,这时如果不是线上环境可以不理会,线上环境使用https就没有这样的问题了。
漏洞修复:检测到目标Content-Security-Policy响应缺失
yjfkeifk的博客
07-01 3473
对于 IIS,请参阅:https://technet.microsoft.com/pl-pl/library/cc753133%28v=ws.10%29.aspx。对于 nginx,请参阅:http://nginx.org/en/docs/http/ngx_http_headers_module.html。对于 Apache,请参阅:http://httpd.apache.org/docs/2.2/mod/mod_headers.html。名称:Content-Security-Policy
检测到目标Content-Security-Policy响应缺失
lxyoucan的博客
07-14 2541
HTTP 响应Content-Security-Policy允许站点管理者控制用户代理能够为指定的页面加载哪些资源。除了少数例外情况,设置的政策主要涉及指定服务器的源和脚本结束点。Content-Security-Policy响应缺失使得目标URL更易遭受跨站脚本攻击。
HTTP响应未设置‘Content-Security-Policy
weixin_46356409的博客
01-18 5618
当HTTP响应未设置’Content-Security-Policy’时,表示服务器没有为网页设置内容安全策略(Content Security Policy,CSP)。通过设置内容安全策略,可以限制浏览器加载哪些类型的资源,从而提高网站的安全性。网站容易受到XSS攻击:如果没有设置内容安全策略,攻击者可以在网站上注入恶意脚本,从而窃取用户信息、篡改网页内容或进行其他恶意操作。网站性能可能受到影响:如果没有设置内容安全策略,浏览器需要下载和执行所有类型的资源,这可能会导致网站性能下降。
koa-csp:用于设置响应Content-Security-Policy
02-03
这是Koa2中间件,用于设置响应标Content-Security-Policy 安装 npm install koa-csp yarn add koa-csp 用法 import Koa from 'koa' ; import csp from 'koa-csp' ; const app = new Koa ( ) ; app . use ( csp ( ...
摸鱼日记1 针对缺失Content-Security-Policy漏洞整改建议
weixin_38269721的博客
10-13 3324
起因 公司项目进行漏扫,提出几条整改意见(其他的都比较简单、已经解决),其中有一条是`针对缺失"Content-Security-Policy"漏洞整改建议`,漏扫方建议 Nginx 在nginx.conf中进行设置: server { … add_header Content-Security-Policy "default-src 'self';"; } 嗯,很简单,上手干。 nginx -s reload 服务起来了,访问一下 www.baidu.com 访问...
tomcat解决Content-Security-Policy缺失
03-16
解决Content-Security-Policy缺失的问题,你可以按照以下步骤进行操作: 1. 打开Tomcat的配置文件:在Tomcat安装目录下找到`conf`文件夹,然后打开`server.xml`文件。 2. 在`<Host>`标签内添加一个`Context`...
Content-Security-Policy缺失
07-29
Content-Security-Policy缺失是指在Web应用程序中缺少或未正确配置Content-Security-Policy。[1] Content-Security-Policy是一种安全策略,用于限制页面中可以加载的资源来源,以减少跨站点脚本攻击(XSS)和...
漏洞扫描,解决缺少“X-XSS-Protection”,“X-Content-Type-Options”, “Content-Security-Policy问题
hsc的博客
07-22 7166
缺少“X-XSS-Protection”,“X-Content-Type-Options”, “Content-Security-Policy解决方法 用AppScan扫描网站,高危问题:缺少“X-XSS-Protection”,“X-Content-Type-Options”, “Content-Security-Policy解决方式 解决方法 将下面内容添加到nginx.conf 文件http 结构下 # security headers add_header X-Frame-Options
Web 安全之内容安全策略(Content-Security-Policy,CSP)配置问题
热门推荐
baiyongliang
05-23 3万+
简单的配置方式:Content-Security-Policy,X-Frame-Options未设置”警告的过滤器 1.CSP 简介 内容安全策略(Content Security Policy,简称CSP)是一种以可信白名单作机制,来限制网站是否可以包含某些来源内容,缓解广泛的内容注入漏洞,比如 XSS。 简单来说,就是我们能够规定,我们的网站只接受我们指定的请求资源。默认配置下不允许执行...
web安全测试之appscan – “Content-Security-Policy缺失或不安全
Programming
06-05 1万+
web安全测试之appscan – “Content-Security-Policy缺失或不安全 - 猿码设计师https://www.yuanmadesign.com/ymdesign/appscan-web-testAppscan是一款安全漏洞扫描软件,由IBM公司研发,后又被卖给了印度公司HCL。在web安全测试中,今天我们说下扫描结果中包含Content-Security-Policy请求header的缺失或不安全的时候,我们该如何应对。首先,它的严重性低。AppScan 检测到 Conten
漏洞修复:Content-Security-Policy header missing
CutelittleBo的博客
11-16 2927
在http、server、location下添加 add_header Content-Security-Policy
HTTP Content-Security-Policy缺失,快速解决
kzhzhang的专栏
05-06 2万+
Content-Security-Policy内容安全策略 (CSP) 是一个额外的安全层,用于检测并削弱某些特定类型的攻击,包括跨站脚本 (XSS) 和数据注入攻击等。无论是数据盗取、网站内容污染还是散发恶意软件,这些攻击都是主要的手段。CSP 的实质就是白名单制度,开发者明确告诉客户端,哪些外部资源可以加载和执行,等同于提供白名单。它的实现和执行全部由浏览器完成,开发者只需提供配置。CSP 大大增强了网页的安全性。攻击者即使发现了漏洞,也没法注入脚本,除非还控制了一台列入了白名单的可信主机。 注意:C
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

陶然同学

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值