CSP和CORS

最新推荐文章于 2024-04-16 05:47:32 发布
最新推荐文章于 2024-04-16 05:47:32 发布
阅读量4k 收藏
点赞数 1
文章标签: 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_50906078/article/details/123980011
版权

一、CSP
内容安全策略(CSP)是一个更高的安全层,可帮助检测和缓解各种类型的民兵攻击,例如(跨站脚本(XSS),数据注入攻击,ClickJacking,ETC等)。

**跨站点脚本(XSS)**:它是一个漏洞,允许黑客在基本网站中注入民兵代码,并且用于使客户端执行该代码以获取敏感数据,例如Cookie,会话信息和特定于站点的信息由于Web应用程序未使用足够的验证或编码,因此用户的浏览器无法检测到恶意脚本不可信。

**数据注入攻击**:数据注入攻击是一种恶意代码,注入到网络中,该恶意代码从数据库中获取所有信息给攻击者,而其中的第一类是SQL注入。

**单击Jacking**:或“ UI补救攻击”是指攻击者诱使用户在单击顶层时诱使用户单击另一个使用多个透明或不透明层的页面上的按钮或链接。

CSP如何工作:它使用了指令概念,每个指令都必须指定可以从何处加载资源,从而防止浏览器从任何其他位置加载数据。

最常用的指令是:

1、default-src:默认的加载策略(JavaScript,图像,CSS,AJAX请求,ETC …)示例default-src ‘self’ cdn.example.com;

2、img-src:定义图像示例的源img-src ‘self’ img.example.com;

3、style-src:定义CSS文件示例的源style-src ‘self’ css.example.com;

4、script-src:定义JavaScript文件示例的源script-src ‘self’ js.example.com;

5、connect-src:为XMLHttpRequest(AJAX),WebSockets或EventSource定义有效的目标,如果它与主机建立了任何连接,这在这里是不允许的,那么浏览器将以400错误的示例进行响应connect-src ‘self’;

6、多标签指令定义: default-src ‘none’; script-src ‘self’; connect-src ‘self’; img-src ‘self’; style-src ‘self’;

二、CORS
跨域资源共享(CORS)是一种使用HTTP标头指定哪个外部来源可以访问本地资产以及如何访问本地资产的机制,这意味着我们可以为允许访问的跨域资源创建白名单

CORS如何运作
1、当站点发出获取请求以从out服务器获取资源时,浏览器会添加一个包含源的标头,例如example Origin: http://www.example.com。

2、服务器接收预检请求,并在白名单中搜索有关给定来源的Access-Control-Allow-Origins,然后发送给浏览器选项调用,然后浏览器将确定实际请求是否可以安全发送,例如Access-Control-Allow-Origin: http://www.example.com否则此标头Access-Control-Allow-Origin: *将允许任何请求占用资源。

3、如果服务器指定方法,它将把请求方法与其示例进行比较Access-Control-Allow-Methods: PUT, DELETE。

李陆嘉
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
HTML5安全介绍之内容安全策略(CSP)简介
09-28
Web对于网络安全有哪些改进?我们如何来面对越来越危险的网络欺诈和攻击?下面的文章谈到了W3C对于这个问题的最新解决方案...未来有机会的话,我会针对XSS、P3P、同源策略、CORS(跨域资源共享)和CSP进行关于HTML5内容
Web-Testing-Grounds:我很少做与网络和图形化相关的项目或测试项目
05-11
例如,开发者可能在这个项目中测试跨域资源共享(CORS)设置,防止不正确的数据访问,或者使用Content Security Policy(CSP)来限制网页加载的资源,增强网站的安全性。 最后,对于网络测试来说,调试工具是不可或...
CSP 内容安全策略入门
yy1715713348的博客
01-26 920
最近在修复公司系统一个图片导出的功能,无法导出图片,拒绝加载图片,违反, 于是就 google 一把,这个是什么玩意?
你不可不知的WEB安全知识(第一部分:HTTPS, TLS, SSL, CORS, CSP(1)
最新发布
m0_60452070的博客
04-16 616
最近遍览了各种网络安全类的文章,内容参差不齐,其中不伐有大佬倾力教学,也有各种不良机构浑水摸鱼,在收到几条私信,发现大家对一套完整的系统的网络安全从学习路线到学习资料,甚至是工具有着不小的需求。它是目前使用最多的协议,旨在促进互联网上通信的隐私、数据安全,TLS的使用案例是加密应用程序与服务器之间的通信、电子邮件、消息传递语音(VoIP)。内容安全策略是一个更高的安全层,可帮助检测和缓解不同类型的恶意攻击,例如(跨站脚本(XSS),数据注入攻击,点击劫持,等等……就像基于握手TLS概念的TLS版本。
web.xml cors_CORSCSP和其他Web安全概念:开发人员简介
cumian9828的博客
07-28 151
web.xml corsIf you keep hearing acronyms like CORS, CSP, and SSL - but don't know what they mean - you're in luck. This article by Austin Tackaberry covers these security concepts in detail. It's a gr...
跨域问题的解决(CORS、Proxy、CSP问题)
ppppsg的博客
08-07 360
在我的项目正式上线后,我修改了允许通过的域名和端口号,解决了大部分资源的跨域问题,但是由于我的博文是由MD文档解析成HTML的,其中博文的图片是单独用img标签的src使用url进行图片的获取的。
你不可不知的WEB安全知识(第一部分:HTTPS, TLS, SSL, CORS, CSP
三分恶的博客
09-30 785
网络对每个用户都不是绝对安全的,每天我们都会听到网站因为拒绝服务攻击而变得不可用,或者页面被伪造。 系列文章对于理解web安全基础知识很有帮助。 系列文章总结了最常见的攻击,并给出了了对应的应对策略。
腾讯云COS配置跨域
云深海阔专栏
06-14 2490
COS
baseless:线下网络制作实验
06-23
通过单个不受限制的来源(绕过同源安全限制、 X-Frame-Options /CSP/CORS 标头等)访问网页中的所有内容。 配置了应用缓存清单以允许移动浏览器离线访问内容。 无需浏览器配置即可阻止第三方跟踪服务。 允许任何...
DeepCrawling:raw(DeepCrawling)
05-05
网站可以在任何来源中将资源包含在HTML文档中,只要所包含的内容遵循相同的来源策略,其标准例外情况,或由于使用CSPCORS或其他访问控制框架而导致的任何其他策略。 了解给定网页包含第三方内容的第一个近似方法...
java防跨站点源码
01-07
以下将详细讲解如何在Java中配置和实现防跨站点策略。 1. **理解XSS攻击** XSS攻击通常分为三种类型:反射型、存储型和DOM型。反射型XSS是通过URL参数传递恶意脚本,用户点击链接后脚本被执行;存储型XSS则是恶意...
如何使用CORSCSP保护前端应用程序安全
xnxqwzy的博客
03-15 856
好了,朋友们,让我们换个话题,探索一下 Content Security Policy (CSP)的领域——这是保护我们前端应用程序的有力盟友!️内容安全策略概述及其目标您的前端应用程序的内容安全策略(CSP)就像一个保镖,决定谁可以进入,谁不可以。通过限制应用程序可以加载外部内容的来源,如脚本、样式表和图像,它旨在减少内容注入攻击,如跨站脚本(XSS)。即使恶意脚本通过用户生成的内容或外部资源进入您的应用程序,您可以通过定义严格的策略来阻止它们被执行。
前端内容安全策略(csp
2401_84152317的博客
04-09 624
正值金三银四招聘旺季,很多小伙伴都询问我有没有前端方面的面试题,特地整理出来赠送给大家!资料领取方式:点击这里前往获取正值金三银四招聘旺季,很多小伙伴都询问我有没有前端方面的面试题,特地整理出来赠送给大家!资料领取方式:点击这里前往获取资料领取方式:点击这里前往获取。
Spring Security配置内容安全策略
Nicky's blog
05-27 5753
内容安全策略:Content Security Policy,简称CSP,内容安全策略是一种安全机制,开发着可以通过HTTP 响应标头,可显著减少现代浏览器中的 XSS、Clickjacking 等代码注入攻击。CSP通过W3C WebApplication Security Working Group发布标准
拒绝应用内联样式,因为它违反了以下内容安全策略:“style-src‘self‘https://apis.google.com。(Refused to apply inline style becau
Mr_chen_zw的博客
09-16 742
拒绝应用内联样式,因为它违反了以下内容安全策略:“style-src'self'https://apis.google.com。
HTTP 响应头Content-Security-Policy
focus on security
08-24 9174
HTTP 响应头Content-Security-Policy允许站点管理者控制用户代理能够为指定的页面加载哪些资源。除了少数例外情况,设置的政策主要涉及指定服务器的源和脚本结束点。这将帮助防止跨站脚本攻击(Cross-Site Script)(XSS)。 如需更多信息,请查阅Content Security Policy (CSP)。 禁止修改的消息首部指的是不能在代码中通过编程的方式进行修改的HTTP协议消息首部。本文仅讨论相关的HTTP请求首部(关于禁止修改的响应首部,请参考Forbidd..
前端安全配置之Content-Security-Policy(csp)
zhouzuoluo的博客
02-04 3845
什么是CSP CSP全称Content Security Policy ,可以直接翻译为内容安全策略,说白了,就是为了页面内容安全而制定的一系列防护策略. 通过CSP所约束的的规责指定可信的内容来源(这里的内容可以指脚本、图片、iframe、fton、style等等可能的远程的资源...
修复cors跨域资源共享漏洞
05-17
跨域资源共享(CORS)是一种机制,它使用额外的 HTTP 头来告诉浏览器,当前页面上的脚本可以访问来自不同源的服务器上的资源。CORS 是一种重要的安全机制,它允许网页从不同的域访问资源,但同时也会带来一些安全风险,如 CSRF 攻击。 要修复 CORS 漏洞,可以采取以下措施: 1. 限制跨域请求的来源:可以在服务端设置 Access-Control-Allow-Origin 头来限制允许跨域请求的来源,只允许指定的域名或 IP 地址访问。这种方式可以有效地防止 CSRF 攻击。 2. 设置 Access-Control-Allow-Credentials:如果需要在跨域请求中传递用户凭证,可以在服务端设置 Access-Control-Allow-Credentials 头,并将其值设置为 true。这样可以确保跨域请求中的 Cookie 或 HTTP 认证信息可以正确地传递到服务器。 3. 设置 Access-Control-Allow-Methods:可以在服务端设置 Access-Control-Allow-Methods 头来限制允许跨域请求的 HTTP 方法。 4. 设置 Access-Control-Allow-Headers:可以在服务端设置 Access-Control-Allow-Headers 头来限制允许跨域请求的请求头。 5. 使用代理:可以使用服务器端代理来转发跨域请求,这样可以规避浏览器的同源策略限制。 除了以上措施,还可以通过使用 CSP(内容安全策略)来限制跨域请求和其他安全漏洞。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值