Web内容安全策略CSP(Content-Security-Policy)

最新推荐文章于 2024-05-16 14:15:50 发布
最新推荐文章于 2024-05-16 14:15:50 发布
阅读量2k 收藏 2
点赞数 1
分类专栏: ajax web 文章标签: web内容安全策略 安全策略CSP web安全 CSP安全策略
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xlz26296/article/details/80194611
版权
ajax 同时被 2 个专栏收录
6 篇文章 0 订阅
订阅专栏
web
2 篇文章 0 订阅
订阅专栏

Web内容安全策略CSP(Content-Security-Policy)

概念

内容安全策略(CSP)是一种web应用技术用于帮助缓解大部分类型的内容注入攻击,包括XSS攻击和数据注入等,这些攻击可实现数据窃取、网站破坏和作为恶意软件分发版本等行为。该策略可让网站管理员指定客户端允许加载的各类可信任资源。

源列表

源列表是一个字符串,指定了一个或多个互联网主机(通过主机名或 IP 地址),和可选的 URL 协议和/或端口号。站点地址可以包含可选的通配符前缀 (星号, ‘’),端口号也可以使用通配符 (同样是 '’) 来表明所有合法端口都是有效来源。主机通过空格分隔。

有效的主机表达式包括:

http://*.foo.com
匹配所有使用 http: 协议加载 foo.com 任何子域名的尝试。
mail.foo.com:443
匹配所有访问 mail.foo.com 的 443 端口 的尝试。
https://store.foo.com
匹配所有使用 https: 协议访问 store.foo.com 的尝试。
如果端口号没有被指定,浏览器会使用指定协议的默认端口号。如果协议没有被指定,浏览器会使用访问该文档时的协议。

响应头的值可配置一个或多个,多个指令以分号;隔开:

指令示例描述
default-src‘self’ cdn.example.com默认配置,若其他指令没有配置,都以此配置的规则为准
script-src‘self’ js.example.com定义允许加载的JavaScript来源
style-src‘self’ css.example.com定义允许加载的样式表来源
img-src‘self’ img.example.com定义允许加载的图片来源
connect-src‘self’适用于XMLHttpRequest(AJAX),WebSocket或EventSource,
当为不允许的来源,浏览器返回一个400的状态码。
font-srcfont.example.com定义允许加载的字体来源
object-src‘self’定义允许加载的插件来源
media-srcmedia.example.com定义允许加载的audio和video元素
frame-src‘self’定义允许加载的框架来源
sandboxallow-forms allow-scripts授权一个沙箱用来请求具有iframe sanbox等类似属性的资源,该沙箱默认为同源策略,
禁止弹出口,执行插件和脚本.若要允许其他,可增加配置:
allow-forms,allow-same-origin, allow-scripts,allow-top-navigation
report-uri/some-report-uri该配置让浏览器发送一个失败报告到指定的路径,
也可以增加-Report-only到HTTP头,让浏览器只发送报告(不做阻止动作)

常见配置

该策略允许加载同源的图片、脚本、AJAX和CSS资源,并阻止加载其他任何资源,对于大多数网站是一个不错的配置。

default-src ‘none’; script-src ‘self’; connect-src ‘self’; img-src ‘self’; style-src ‘self’;

浏览器支持

HeaderIEChromeFireFoxSafariOpera
Content-Security-Policy25+24+7+
X-Content-Security-Policy10+4.0+15+
X-Webkit-CSP14+6+

禁止后提示信息

Refused to load the script ‘script-uri’ because it violates the following Content Security Policy directive: “your CSP directive”.

Content Security Policy: A violation occurred for a report-only CSP policy (“An attempt to execute inline scripts has been blocked”). The behavior was allowed, and a CSP report was sent.

大猩猩X
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ContentSecurityPolicyFilter:一个可配置的Java Servlet过滤器,将“ Content-Security-Policy”标头添加到ServletResponse
05-02
内容安全策略过滤器(Java) 将“ Content-Security-Policy”或“ Content-Security-Policy-Report-Only”标头添加到响应中。 另请参阅: 通常,您只需要有限的数目,也不需要任何init参数。 如果未定义init参数,则Header将如下所示: Content-Security-Policy = default-src 'none' 这是ContentSecurityPolicyFilter的示例完整配置。 <filter> <filter>ContentSecurityPolicyFilter</filter> <filter>de.saville.csp.ContentSecurityPolicyFilter</filter>
content-security-policy.com:content-security-policy.com网站的源代码
04-27
内容安全策略Content Security Policy,简称CSP)是Web安全领域的一个重要机制,用于帮助防止跨站脚本攻击(XSS)和其他潜在的安全威胁。它允许网站管理员通过定义一组策略来控制页面可以加载哪些资源,比如...
Web 安全内容安全策略 (CSP)
weixin_34356138的博客
12-24 397
内容安全策略 (CSP, Content Security Policy) 是一个附加的安全层,用于帮助检测和缓解某些类型的攻击,包括跨站脚本攻击 (XSS) 和数据注入等攻击。 这些攻击可用于实现从数据窃取到网站破坏或作为恶意软件分发版本等用途。内容安全策略在现代浏览器中已经包含,使用的是 W3C CSP 1.0 标准中描述的 Con...
Vue进阶(三十三)Content-Security-PolicyCSP)详解_content-security-policy前端和后端(1)
2401_84617302的博客
05-16 568
CSP) 是一种加固 Web 应用的安全性技术,通过在网站页面中设置 CSP Header 来限制页面中能够执行的脚本、样式、图片等资源。CSP 包括很多不同的策略,因此安全设置的具体值取决目标网站的需求和资源使用情况。一般而言,建议设置较为严格的 CSP,以避免XSSCSRF等安全问题。以上设置的 CSP 规则禁止所有来自第三方网站的资源,只允许本网站的资源加载。其中script-src只允许本网站和 example.com 的脚本加载,img-src只允许本网站和 data: URI 的图片加载,
web内容安全策略CSPContent-Security-Policy
m0_45406092的博客
02-26 3305
文章目录1. 前言2. CSP作用2.1 什么是资源2.2 资源列表3. csp语法3.1 完整示例3.1.1 复现iframe同源限制3.2 语法深入解析3.1 default-src 1. 前言 内容安全策略CSP),其核心思想十分简单:网站通过发送一个 CSP 头部,来告诉浏览器什么是被授权执行的与什么是需要被禁止的。其被誉为专门为解决XSS攻击而生的神器。 xss是跨域脚本攻击的缩写,详细可以参见《XSS跨域脚本攻击》,举例来说,可以在页面被注入非法的js脚本,然后产生不安全的后果。 内容安全
Content Security Policy 入门教程
在路上
12-09 405
http://www.ruanyifeng.com/blog/2016/09/csp.html
web的跨域问题--针对CSP内容
lu_tu_zhong的专栏
08-19 1700
跨域的ajax问题是因为返回的response中缺少     Header("Access-Control-Allow-Origin","*")     Header("Access-Control-Allow-Methods","GET,POST")     Header("Access-Control-Allow-Headers","x-requested-with,content-ty
Content Security Policy最简单易懂的介绍
星辰的专栏
08-07 2279
CSP 的实质就是白名单制度,开发者明确告诉客户端,哪些外部资源可以加载和执行,等同于提供白名单。它的实现和执行全部由浏览器完成,开发者只需提供配置。CSP 大大增强了网页的安全性。攻击者即使发现了漏洞,也没法注入脚本,除非还控制了一台列入了白名单的可信主机。两种方法可以启用 CSP。一种是通过 HTTP 头信息的的字段。nginx通过网页的标签配置:上面代码中,CSP 做了如下配置脚本:只信任当前域名标签:不信任任何URL,即不加载任何资源。
Disable Content-Security-Policy-crx插件
04-02
禁用Web应用程序测试的内容安全策略。 当图标彩色时,CSP标题被禁用。 以您自己的风险使用。 这会禁用选项卡的内容安全策略标题。 在测试新的第三方标记包含在页面上的资源时使用此功能。 单击扩展图标以禁用选项卡...
Always Disable Content-Security-Policy-crx插件
04-02
禁用当前页面的内容安全策略。 测试新的第三方标签在页面上包含哪些资源时很有用。 单击扩展程序图标以重新启用CSP标头。 再次单击扩展图标以禁用CSP标头。 仅将此作为最后的手段。 禁用CSP意味着禁用旨在保护您免受...
内容安全策略 Content-Security-Policy
热门推荐
qq_30436011的博客
10-24 3万+
1、限制资源获取:限制网页当中一系列的资源获取的情况,从哪里获取,请求发到哪个地方限制方式:default-src限制全局的和链接有关的作用范围根据资源类型(connect-src、img-src等),限制资源范围2、报告资源获取越权:在网页当中获取了一些我们不应该获取的资源的时候,给服务进行报告,报告资源获取越权,然后做出调整之所以报这个错误,就是我们加了这个头的作用。这个时候 inline脚本还是不能执行的。如果引入外链的脚本文件,则会报错,这样就可限制,只能使用我们本站使用的脚本。
Web安全Content Security Policy(CSP 内容安全策略)详解
路多辛的所思所想
04-12 6043
Content-Security-Policy值由一个或多个指令组成,多个指令用分号分隔。script-src:外部脚本style-src:样式文件img-src:图片文件media-src:媒体文件(音频和视频)font-src:字体文件object-src:插件(比如 Flash)child-src:框架frame-ancestors:嵌入的外部资源(比如、、和)
Web 安全内容安全策略Content-Security-Policy,CSP)配置问题
baiyongliang
05-23 3万+
简单的配置方式:Content-Security-Policy,X-Frame-Options头未设置”警告的过滤器 1.CSP 简介 内容安全策略Content Security Policy,简称CSP)是一种以可信白名单作机制,来限制网站是否可以包含某些来源内容,缓解广泛的内容注入漏洞,比如 XSS。 简单来说,就是我们能够规定,我们的网站只接受我们指定的请求资源。默认配置下不允许执行...
http内容安全策略Content Security Policy(CSP)
focus on security
08-24 5658
内容安全策略CSP安全性的附加层,有助于检测和缓解某些类型的攻击,包括跨站点脚本(https://owasp.org/www-community/attacks/xss/)和数据注入攻击。这些攻击可用于从数据盗窃,站点损坏到恶意软件分发的所有方面。 CSP被设计为完全向后兼容(除CSP版本2,其中有在向后兼容性一些明确提到的不一致性)。不支持它的浏览器仍然可以与实现它的服务器一起使用,反之亦然:不支持CSP的浏览器只是忽略它,照常运行,默认为Web内容的标准同源策略。如果站点不提供CSP标头,则浏览器同
配置web应用服务的Content-Security-Policy
CSDN技术支持
11-13 2万+
1.Tomcat中原生的Security 2.配置Tomcat的web.xml 3.配置html的META                                                                                  Tomcat中原生的Security Tomcat中的安全管理原理基本与前面JDK中的security类似,只是启动时需要...
Content Security Policy介绍
qdujunjie的专栏
03-03 1576
转自:http://www.2cto.com/Article/201307/230739.html 本文介绍的是W3C的Content Security Policy,简称CSP。顾名思义,这个规范与内容安全有关,主要是用来定义页面可以加载哪些资源,减少XSS的发生。 Chrome扩展已经引入了CSP,通过manifest.json中的content_secur
WEB应用内容安全策略(Content Security Policy)
weixin_34146805的博客
02-20 5664
内容安全策略(Content Security Policy)是什么?   内容安全策略(Content Security Policy)简称CSP是由W3C小组定义的一项规范,其主要作用是提供一个额外的安全层,用于检测并削弱某些特定类型的攻击,包括跨站脚本 (XSS) 和数据注入攻击等.   目前内容安全策略(Content Security Policy)的规范一共有三个版本: Conte...
web安全content-security-policy(简称csp)浏览器安全策略
TivonaLH的博客
01-11 4561
参考资料:https://www.cnblogs.com/heyuqing/p/6215761.html(csp简介) 中间件是tmcat,再过滤器中配置content-security-policy头 res.setHeader("Content-Security-Policy", "frame-ancestors'self'"); 参考资料:http://www.it1352.com/...
浏览器设置策略Content-Security-Policy
最新发布
06-20
Content-Security-Policy (CSP) 是一种HTTP头部字段,用于帮助Web应用增强安全性,控制网页内容如何加载和执行。CSP允许开发者定义一系列规则,限制浏览器加载资源的来源、类型以及执行的脚本和样式等行为。这有助于防止跨站脚本攻击(XSS)、恶意代码注入、数据泄露等问题。 设置CSP主要包括以下几个关键点: 1. **基本策略**: 使用`content-security-policy`头部字段声明,例如: ``` Content-Security-Policy: default-src 'self'; ``` 这表示只允许从当前源加载内容。 2. **源策略**: `default-src`可以指定一组或单独的源,如: ``` default-src 'self' https: data:; ``` 这里指定了除了'self'之外还允许https和data:协议的资源加载。 3. **资源类型**: 可以使用`script-src`, `style-src`, `img-src`, `frame-src`等指令分别控制不同类型的资源加载来源。 4. **允许特定资源**: `connect-src`控制连接请求(如WebSocket),`font-src`控制字体资源,`media-src`控制媒体资源等。 5. **执行策略**: `script-src-elem`和`script-nonce`用于处理内联脚本,`child-src`管理嵌套框架。 6. **报告策略**: `report-uri`指定当违反策略时发送报告的URL,以便开发者收集安全事件信息。 7. **沙箱模式**: 使用`sandbox`属性或`sandbox`-related directives如`allow-scripts`、`allow-top-navigation`等进一步限制页面行为。 为了确保CSP的有效性,需要在服务器端配置并始终发送这个头部信息给客户端。同时,开发人员也需要遵循CSP策略来编写代码,避免潜在的安全风险。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值