安全头响应头(一)Content-Security-Policy

已于 2023-05-24 23:45:01 修改
阅读量3.9k 收藏 6
点赞数 3
文章标签: CSP安全头
于 2023-04-17 00:18:50 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wzj_110/article/details/130189659
版权

一  Content Security Policy  CSP

中文翻译

①  背景引入

++++++++++++  "重点提炼"  ++++++++++++

1) CSP最初被设计用来'减少XSS跨站点脚本攻击',该规范后续版本还可防止其他如点击劫持形式的攻击

2) CSP 的实质就是'白名单'制度

  [1]、网站开发者'明确'告诉客户端,'哪些外部资源'可以'加载'和'执行',等同于提供白名单

  [2]、它的实现和执行全部'由浏览器完成',开发者只需'提供CSP头配置'

  备注: 取决于'浏览器'的'支持'程度

  [3]、来限制'哪些外部资源(如JavaScript、CSS、图像等)'可以'被加载',从'哪些url'加载

3) 大大增强了'网页的安全性',攻击者即使发现了漏洞,'也没法'注入脚本

②  启用CSP的两种方法

方式1:  --> 添加'响应头',注意"单双引号"嵌套

  add_header Content-Security-Policy "script-src 'self'; object-src 'none'";

方式2:  --> html中'head标签'内嵌'meta标签'

<meta
  http-equiv="Content-Security-Policy"
  content="default-src 'self'; img-src https://*; child-src 'none';" />

优先级: 如果 HTTP 头与 Meta 定义'同时'存在,则'优先采用 HTTP 中'的定义

③   CSP语法

1) default-src是'CSP指令',多个指令之间用'英文分号;'分割;

2) 'self'是'source'值,'多个'指令值用'英文空格'分割

④  CSP指令汇总  各个指令的解读

实质: '资源类型' 限制选项,掌握'常见'的即可

1) script-src:定义'js文件'的过滤策略

2) style-src: 样式表'css'

3) img-src:   图像'各种格式'

4) media-src: 媒体文件'音频和视频' --> 如' <audio>, <video>'等元素

5) font-src:  字体文件

6) object-src:插件'比如 Flash'

7) child-src: 框架

8) frame-src: 嵌入的'子frame'资源 '比如<frame>、<iframe>、<embed>'

9) connect-src:定义请求连接文件的过滤策略 '(通过 XHR、WebSockets、EventSource等)'

   script-src * 'self' 'unsafe-eval' 'unsafe-inline' blob: data: gap:;

10) worker-src:worker脚本 --> "了解"

11) manifest-src:'manifest 文件'

12) default-src 'self'  用来设置上面'各个选项'的'默认'值 --> "当前域名",需要'加引号'

 备注: 如果同时设置某个单项限制'比如font-src'和'default-src',前者会'覆盖'后者

+++++++++++  "其它"  +++++++++++

base-uri:限制'<base#href>'

form-action:限制'<form#action>'

重点1:如果同一个限制选项'使用多次',只有'第一次'会生效

重点2:由于 img-src '不存在',它使用的是 'default-src';如果'存在',则会'覆盖'

Content Security Policy (CSP)中blob:的用法   object-src blob  blob协议

scp官网default-src指令解读   default-src指令

⑥    CSP 常用source

+++++++ "(1) host-source"  +++++++

备注: '推荐'完整的白名单,尽量不只使用'协议'或'通配符'

source相关参考 

每个'CSP限制选项'可以设置'以下几种值',这些值就构成了'白名单'。

1) 多个主机名:example.org https://example.com:443

2) 带url:example.org/resources/js/

3) 通配符:*.example.org,*://*.example.com:*'(表示任意协议、任意子域名、任意端口)'

4) 关键字'self':当前域名,需要'加引号'

5) 关键字'none':'禁止'加载任何外部资源,需要加'引号'
+++++++ "(2) scheme-source"  +++++++

 data:协议

+++++++ "(2) 'self'"  +++++++

1) 只能'加载本域'资源

2) chrome浏览器随对'self'不包含'blob:' 协议

  

组织内联代码执行和eval功能 

⑦  报错汇总

 connect-src报错  https://*不生效使用https:  其它报错   Refused to load the image 'blob:

1) 加载视频'失败'  --> 没有指定"connect-src 'self'",继承'默认值self'

  Refused to connect to 'blob:http://XXX' because it violates '违反' the \

    following Content Security Policy directive: "connect-src 'self'"  \

    Note that 'connect-src' was not explicitly set, \  'connect-src没有指定'

      so 'default-src' is used as a fallback.  '回退使用default-src的值'

  1) the 'violated directive' is "connect-src 'self'",

  2) but your <meta CSP> contains 'connect-src * blob: data: gap:';

2)  image报错  --> '由于*不包含blob:'

  Refused to load the image 'blob:'

  [1]、将 'img-src blob:' 添加到 Content-Security-Policy 值

  [2]、或者将 'blob:' 添加到现有的 'default-src' 值

vue项目构建后CSP报错解决办法   CSP 256报错   CSP常见报错汇总

重要图片的base64编码 data:image

⑧  参考链接

阮神Content Security Policy 入门教程

内容安全策略

CSP内容安全策略

Chrome插件modheader,通过随意设置响应头来测试CSP

CSP在前端项目落地的两个阶段

wzj_110
关注
前端安全配置之Content-Security-Policy(csp)
weixin_30326745的博客
12-23 1984
什么是CSP CSP全称Content Security Policy ,可以直接翻译为内容安全策略,说白了,就是为了页面内容安全而制定的一系列防护策略. 通过CSP所约束的的规责指定可信的内容来源(这里的内容可以指脚本、图片、iframe、fton、style等等可能的远程的资源)。通过CSP协定,让WEB处于一个安全的运行环境中。 有什么用? 我们知道前端有个很著名的”同源策略”,...
安全响应(一)Content-Security-Policy_add_header content-security-policy
2401_84263208的博客
04-11 1162
还有兄弟不知道网络安全面试可以提前刷题吗?费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!王岚嵚工程师面试题(附答案),只能帮兄弟们到这儿了!如果你能答对70%,找一个安全工作,问题不大。对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!【完整版领取方式在文末!!
内容安全策略 Content-Security-Policy
热门推荐
qq_30436011的博客
10-24 3万+
1、限制资源获取:限制网页当中一系列的资源获取的情况,从哪里获取,请求发到哪个地方限制方式:default-src限制全局的和链接有关的作用范围根据资源类型(connect-src、img-src等),限制资源范围2、报告资源获取越权:在网页当中获取了一些我们不应该获取的资源的时候,给服务进行报告,报告资源获取越权,然后做出调整之所以报这个错误,就是我们加了这个的作用。这个时候 inline脚本还是不能执行的。如果引入外链的脚本文件,则会报错,这样就可限制,只能使用我们本站使用的脚本。
网站扫描出的漏洞解决:检测到目标Content-Security-Policy、X-XSS-Protection/Content-Security-Policy响应缺失、加密算法等处理修复方法
本博客记录了从2014年以来在工作学习中遇到的技术问题、解决方法以及部分个人人生经历、经验等内容。
03-17 5607
Content Security Policy (CSP) 通过告诉浏览器一系列规则,严格规定页面中哪些资源允许有哪些来源, 不在指定范围内的统统拒绝,可以服务器添加 Content-Security-Policy 信息来指定规则解决。connect-src *会使安全进行升级,即一个http页面中所有调用的静态资源会自动升级使用https调用。但这样也会产生很多问题,如果调用的资源实际并不支持https的话,这时如果不是线上环境可以不理会,线上环境使用https就没有这样的问题了。
chrome/edge浏览器插件开发入门与加载使用
最新发布
关注前端,关注原创
07-31 1380
chrome插件的出现,初衷可能是为了方便用户更好地控制浏览器,只是经过漫长的发展,如今已经出现各种骚操作与黑科技。有了插件,可以说人操作浏览器的动作,都可以通过代码来自动化实现。比如大学那些无聊的网课,可以通过插件来刷新页面;某些网站无聊的问答,可以通过插件+AI的方式自动回复;某些网站的自动签到,可以通过插件自动打开页面+签到……具体能实现什么,需要同学们自行探索,说的太多,我就从一个分享者,变成可刑之路的引领人。
Content-Security-Policy
GalaxySpaceX的博客
09-12 573
Content-Security-Policy
HTTP 响应Content-Security-Policy
focus on security
08-24 9368
HTTP 响应Content-Security-Policy允许站点管理者控制用户代理能够为指定的页面加载哪些资源。除了少数例外情况,设置的政策主要涉及指定服务器的源和脚本结束点。这将帮助防止跨站脚本攻击(Cross-Site Script)(XSS)。 如需更多信息,请查阅Content Security Policy (CSP)。 禁止修改的消息首部指的是不能在代码中通过编程的方式进行修改的HTTP协议消息首部。本文仅讨论相关的HTTP请求首部(关于禁止修改的响应首部,请参考Forbidd..
koa-csp:用于设置响应Content-Security-Policy
02-03
这是Koa2中间件,用于设置响应Content-Security-Policy 安装 npm install koa-csp yarn add koa-csp 用法 import Koa from 'koa' ; import csp from 'koa-csp' ; const app = new Koa ( ) ; app . use ( csp ( ...
Nginx配置Http响应安全策略_nginx content-security-policy
2301_82257383的博客
04-28 813
但是有一些资源的类型是未定义或者定义错了,导致浏览器会猜测资源类型,尝试解析内容,从而给了脚本攻击可乘之机。用于控制网页在哪些框架中显示,控制页面是否可以用于ifram中,如果使用,是什么范围。注意:此配置会屏蔽范围外的脚本,如果是已经上线的系统,需要考虑下是否有引入外部脚本的情况,避免盲目增加配置,导致生产事故。当用户在浏览器上点击一个链接时,会产生一个 HTTP 请求,用于获取新的页面内容,而在该请求的报中包含一个。,可以使用以下代码:注意,这里的引号是必需的,因为选项值中包含了空格。
ContentSecurityPolicyFilter:一个可配置的Java Servlet过滤器,将“ Content-Security-Policy”标添加到ServletResponse
05-02
将“ Content-Security-Policy”或“ Content-Security-Policy-Report-Only”标添加到响应中。 另请参阅: 通常,您只需要有限的数目,也不需要任何init参数。 如果未定义init参数,则Header将如下所示: ...
HTTP安全响应
weixin_30355437的博客
01-22 220
最近在做安全扫描相关的工作,appscan扫描出来的一些项目,提示未添加安全。于是在内网和google上到处搜了下。大致弄懂了。现在做个笔记吧。 什么是安全响应:现代浏览器提供了一些安全相关的响应,使用这些响应一般只需要修改服务器配置即可,不需要修改程序代码,成本很低。 目的:保护用户的安全,也就是通常意义上的防止用户受到各种攻击,如XSS、CSRF。 1.Content-Se...
Spring Security漏洞防护—HTTP 安全响应
深圳市多克创新科技有限公司
10-24 2103
Spring Security漏洞防护—HTTP 安全响应
HTTP 安全响应Security Response header)配置
qq_42445433的博客
08-11 3636
HTTP 安全响应Security Response header)配置
WEB安全防护相关响应(上)
天存信息
05-27 922
WEB安全防护相关响应(上)一、X-Frame-Options -- 打破框框二、X-Content-Type-Options -- IE你别瞎猜猜了三、HTTP Strict Transport Security (HSTS) -- 不加密不舒服斯基四、浏览器兼容性五、这些响应打哪儿来的?!1. APACHE2. NGINX3. IIS WEB 安全攻防是个庞大的话题,有各种不同角度的探讨和...
Spring安全方案—针对常见漏洞的保护(安全 HTTP 响应)(官方原版)
深圳市多克创新科技有限公司
04-23 657
Spring安全方案—针对常见漏洞的保护(安全 HTTP 响应)(官方原版)
Content Security Policy
qq_38344321的博客
09-03 5020
Content Security Policy(内容安全策略,简称csp)用于检测并阻止网页加载非法资源的安全策略,可以减轻xss攻击带来的危害和数据注入等攻击。本文讲述的内容主要有如何使用csp和业务接入csp流程这两部分。 简介 csp主要工作是定义一套页面资源加载白名单规则,浏览器使用csp规则去匹配所有资源,禁止加载不符合规则的资源,同时将非法资源请求进行上报。 csp作用:减轻网页被xss攻击后所受到的危害。实际上csp是在xss攻击发生后才起作用,阻止请求注入的非法资源,csp并不是直接阻止xs
怎么在响应中设置 Content-Security-Policy
09-02
要在响应中设置 Content-Security-Policy,你需要在服务器端进行操作。具体的步骤取决于你使用的服务器和编程语言。以下是一些常见的方法: 对于 Apache 服务器,可以通过修改 .htaccess 文件或者在虚拟主机配置中添加以下行来设置 Content-Security-Policy: ``` Header set Content-Security-Policy "directive" ``` 其中 "directive" 是根据你的需求来设置的 Content Security Policy 指令。 对于 Nginx 服务器,可以在配置文件中的 server 模块中添加以下行来设置 Content-Security-Policy: ``` add_header Content-Security-Policy "directive"; ``` 对于 Node.js,可以使用相关的中间件来设置 Content-Security-Policy。例如,使用 `helmet` 中间件可以很方便地设置 Content Security Policy。你可以在 Express 应用程序的入口文件中添加以下行来设置 Content-Security-Policy: ``` const helmet = require('helmet'); app.use(helmet.contentSecurityPolicy({ directives: { "directive": ["value"] } })); ``` 请注意,上述示例中的 "directive" 和 "value" 应该根据你的具体需求进行替换。 无论使用哪种方法,请确保在 Content Security Policy 中设置适当的指令,以提高网站的安全性和防御能力。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值