内容安全策略(content-security-policy)

最新推荐文章于 2025-03-07 22:20:26 发布
最新推荐文章于 2025-03-07 22:20:26 发布
阅读量3.1w 收藏 36
点赞数 9
分类专栏: 维护 文章标签: web 安全 内容安全策略 security policy
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ynchyong/article/details/112005292
版权
本文详细介绍了Content Security Policy(CSP)的重要性及其在防止点击劫持和XSS攻击中的作用。通过设置HTTP响应头,CSP定义了网页可以加载和执行的外部资源白名单,增强了网页安全性。同时,文章讨论了如何配置CSP,包括script-src、style-src等限制选项,并提到了Content-Security-Policy-Report-Only的使用,以及在实际应用中需要注意的细节。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

内容安全策略

1. iframe

在使用iframe 的时候

<iframe style="border:0;width:100%;height:100%" src="https://github.com/join"/>

请求拒绝
经查 报的是
Refused to frame 'https://github.com/' because an ancestor violates the following Content Security Policy directive: "frame-ancestors 'none'".

Refused to frame ‘https://github.com/’ because an ancestor violates the following Content Security Policy directive: “frame-ancestors ‘none’”.

原因是 点击劫持与安全策略

点击劫持与安全策略

禁止页面被放在iframe里加载主要是为了防止点击劫持(Clickjacking):
防止点击劫持(Clickjacking)
具体的,对于点击劫持,主要有 3 项应对措施:

  • CSP(Content Security Policy,即内容安全策略)
  • X-Frame-Options
  • framekiller

服务端设置

通过设置 HTTP 响应头来声明 CSP 和X-Frame-Options,例如:

# 不允许被嵌入,包括<frame>, <iframe>, <object>, <embed> 和 <applet>
Content-Security-Policy: frame-ancestors 'none'
# 只允许被同源的页面嵌入
Content-Security-Policy: frame-ancestors 'self'
# 只允许被白名单内的页面嵌入
Content-Security-Policy: frame-ancestors www.example.com

# 不允许被嵌入,包括<frame>, <iframe>, <embed> 和 <object>
X-Frame-Options: deny
# 只允许被同源的页面嵌入
X-Frame-Options: sameorigin
# (已废弃)只允许被白名单内的页面嵌入
X-Frame-Options: allow-from www.example.com

还有个与frame-ancestors长得很像的fra

最低0.47元/天 解锁文章
WEB安全渗透测试》(33)使用内容安全策略content-security-policy)来防御XSS漏洞
午夜安全
11-22 996
Content Security Policy,简称 CSP,即内容安全策略。它主要是用来定义哪些资源可以被当前页面加载,从而防御 XSS 和 CSRF 攻击。通过定义一套页面资源加载白名单规则,浏览器会使用csp规则去匹配所有资源,禁止加载不符合规则的资源,而且可以将非法资源请求进行上报。作为开发者只需要在服务端配置,明确告诉浏览器,哪些外部资源可以加载执行,其他工作浏览器自己完成。这样即使网站存在XSS漏洞,攻击者是无法注入脚本的,除非它可以控制可信的白名单主机,但这是不可能实现的。
内容安全策略(CSP)详解
weixin_47450807的博客
03-02 8554
在上一篇博客我们主要总结了XSS攻击,本篇博客主要总结内容安全策略CSP的相关内容。 一、定义 内容安全策略(CSP),是一种安全策略,其原理是当浏览器请求某一个网站时,告诉该浏览器申明文件可以执行,什么不可以执行。CSP是专门解决XSS攻击而生的神器。 CSP的引入会使得我们的引入扩展程序更加安全,并且可以由开发者指定可以加载扩展程序的类型,避免恶意的脚本在浏览器中执行,造成信息泄露问题。 二、CSP的意义 CSP是防XSS的利器,可以把其理解为白名单,开发者通过设置CSP的内容,来规定浏览器可以加载的资
内容安全策略 Content-Security-Policy
热门推荐
qq_30436011的博客
10-24 3万+
1、限制资源获取:限制网页当中一系列的资源获取的情况,从哪里获取,请求发到哪个地方限制方式:default-src限制全局的和链接有关的作用范围根据资源类型(connect-src、img-src等),限制资源范围2、报告资源获取越权:在网页当中获取了一些我们不应该获取的资源的时候,给服务进行报告,报告资源获取越权,然后做出调整之所以报这个错误,就是我们加了这个头的作用。这个时候 inline脚本还是不能执行的。如果引入外链的脚本文件,则会报错,这样就可限制,只能使用我们本站使用的脚本。
Nginx 常用安全
最新发布
m0_74823683的博客
03-07 925
Web 应用中配置 HTTP 安全响应头是提升网站安全性的重要一步。合理配置 Nginx 的安全头,可以抵御常见的安全威胁(如 XSS、点击劫持、MIME 类型嗅探等),增强用户隐私保护和传输安全性。:限制资源(如脚本、样式、图片等)的加载来源,防止 XSS 和数据注入攻击。<object><embed>iframe注意事项:如果需要加载第三方资源(如 CDN),需显式添加来源。避免使用和,减少 XSS 风险。
WEB应用内容安全策略(Content Security Policy)
A_991128a的博客
01-15 4585
它通过让开发者对自己WEB应用声明一个外部资源加载的白名单,使得客户端在运行WEB应用时对外部资源的加载做出筛选和识别,只加载被允许的网站资源.对于不被允许的网站资源不予加载和执行.同时,还可以将WEB应用中出现的不被允许的资源链接和详情报告给我们指定的网址.如此,大大增强了WEB应用的安全性.使得攻击者即使发现了漏洞,也没法注入脚本,除非还控制了一台列入了白名单的服务器.使用这种模式,将会直接阻止非法的外部资源加载,同时也可以选择是否配置将非法资源加载的链接和行为报告给我们指定的网址。
内容安全策略
IT新技术
05-03 2166
更多HTML 5文章请查阅HTML 6在线网站http://www.html5online.com.cn 本文概述         在传统Web应用程序中,数据的安全性是通过同源策略来实现的。站点A中的代码只能访问站点A中的数据。每一个站点均处于孤立状态,从而保证每一个站点中数据的安全性。从理论上来说,这种做法是无懈可击的,但事实上,许多网络攻击者都已经聪明地发现了如何突破这种限制的方法。
内容安全策略 (CSP)
allway2的博客
09-05 7196
base64, iVBORw0KGgoAAAANSUhEUgAAAAUA%0A AAAFCAYAAACNbyblAAAAHElEQVQI12P4//8/w38GIAXDIBKE0DHxgljNBAAO%0A 9TXL0Y4OHwAAAABJRU5ErkJggg==',因为它违反了以下内容安全策略指令:“default-src.'none 请注意,'img-src' 没有显式设置,所以 'default-src' 用作后备。,因为它违反了以下内容安全策略指令:“default-src 'none'”。
ContentSecurityPolicyFilter:一个可配置的Java Servlet过滤器,将“ Content-Security-Policy”标头添加到ServletResponse
05-02
内容安全策略过滤器(Java) 将“ Content-Security-Policy”或“ Content-Security-Policy-Report-Only”标头添加到响应中。 另请参阅: 通常,您只需要有限的数目,也不需要任何init参数。 如果未定义init参数...
Nginx配置Http响应头安全策略_nginx content-security-policy
2301_82257383的博客
04-28 1328
但是有一些资源的类型是未定义或者定义错了,导致浏览器会猜测资源类型,尝试解析内容,从而给了脚本攻击可乘之机。用于控制网页在哪些框架中显示,控制页面是否可以用于ifram中,如果使用,是什么范围。注意:此配置会屏蔽范围外的脚本,如果是已经上线的系统,需要考虑下是否有引入外部脚本的情况,避免盲目增加配置,导致生产事故。当用户在浏览器上点击一个链接时,会产生一个 HTTP 请求,用于获取新的页面内容,而在该请求的报头中包含一个。,可以使用以下代码:注意,这里的引号是必需的,因为选项值中包含了空格。
content-security-policy.com:content-security-policy.com网站的源代码
04-27
内容安全策略Content Security Policy,简称CSP)是Web安全领域的一个重要机制,用于帮助防止跨站脚本攻击(XSS)和其他潜在的安全威胁。它允许网站管理员通过定义一组策略来控制页面可以加载哪些资源,比如...
内容安全策略Content Security Policy,CSP)
AiENG_07的博客
10-16 524
CSP是一组浏览器安全标头的规范,通过这些标头,网站所有者可以告诉浏览器哪些资源可以加载并执行,以及哪些不可以。这有助于防止恶意脚本的注入,因为浏览器将拒绝加载不符合CSP规则的内容。内容安全策略Content Security Policy,CSP)是一个重要的安全机制,用于帮助保护网站免受恶意攻击和跨站脚本(XSS)等安全威胁。总之,CSP是一个有助于提高网站安全性的重要工具,但需要谨慎配置和管理,以确保安全性与功能之间的平衡。
信息安全策略的概念及内容
01-20
详细解释了信息安全策略的概念及内容。包括信息安全策略的制定、信息安全策略制定过程、信息安全策略框架、信息安全策略的配套标准、信息安全策略的推行、信息安全策略的推进手段等内容。
CSP-内容安全策略
07-27 642
Content-Security-Policy 限制资源获取 报告资源获取越权 default-src 限制全局 指定资源类型限制(connect-src/img-src/script-src/style-src/media-src...) 常用限制 1.限制inline-script(html行内js)与其他域的script引入 2.限制外部地址跳转,form-action 3.等等 ...
【Iframe Content Security Policy directive: “frame-ancestors 报错】
YONGEGE
06-27 1856
指令用于添加返回头字段。的服务配置中添加响应头。
CSP 内容安全策略入门
yy1715713348的博客
01-26 1095
最近在修复公司系统一个图片导出的功能,无法导出图片,拒绝加载图片,违反, 于是就 google 一把,这个是什么玩意?
CSP:内容安全策略详解
Songxianshengbei的博客
03-31 996
除了Content-Security-Policy字段外,CSP还支持其他一些相关的字段,如Content-Security-Policy-Report-Only用于报告模式,即只记录违反策略的行为而不阻止其执行;这些规则可以是具体的URL、域名、协议等,也可以是特殊的关键字,如'self'表示允许加载来自同一来源的资源。此外,CSP还支持一些其他指令和特性,如default-src用于设置所有未明确指定类型的资源的默认来源规则,nonce和hash用于验证资源的完整性等。
内容安全策略(CSP)详解
柱哥的博客
04-18 2万+
内容安全策略(CSP),其核心思想十分简单:网站通过发送一个 CSP 头部,来告诉浏览器什么是被授权执行的与什么是需要被禁止的。其被誉为专门为解决XSS攻击而生的神器。
【网络安全 | 浏览器安全机制】内容安全策略(CSP)及沙箱环境
等风来
08-25 9147
以上为浏览器安全机制之内容安全策略(CSP)及沙箱环境详析,内容安全策略(CSP)和沙箱环境在Web应用程序和浏览器内提供了额外的安全层,有助于防止恶意攻击和数据泄露,读者可深入学习。我是秋说,我们下次见。
XSS防御 内容安全策略 CSP工作原理、配置技巧与最佳实践_安全策略 img-src
04-15 611
最近遍览了各种网络安全类的文章,内容参差不齐,其中不伐有大佬倾力教学,也有各种不良机构浑水摸鱼,在收到几条私信,发现大家对一套完整的系统的网络安全从学习路线到学习资料,甚至是工具有着不小的需求。相比起繁琐的文字,还是生动的视频教程更加适合零基础的同学们学习,这里也是整理了一份与上述学习路线一一对应的网络安全视频教程。当然,当你入门之后,仅仅是视频教程已经不能满足你的需求了,你肯定需要学习各种工具的使用以及大量的实战项目,这里也分享一份。开发者可以通过下面的手段通知浏览器那些资源是安全的,可加载执行的;
浏览器设置策略Content-Security-Policy
06-20
Content-Security-Policy (CSP) 是一种HTTP头部字段,用于帮助Web应用增强安全性,控制网页内容如何加载和执行。CSP允许开发者定义一系列规则,限制浏览器加载资源的来源、类型以及执行的脚本和样式等行为。这有助于防止跨站脚本攻击(XSS)、恶意代码注入、数据泄露等问题。 设置CSP主要包括以下几个关键点: 1. **基本策略**: 使用`content-security-policy`头部字段声明,例如: ``` Content-Security-Policy: default-src 'self'; ``` 这表示只允许从当前源加载内容。 2. **源策略**: `default-src`可以指定一组或单独的源,如: ``` default-src 'self' https: data:; ``` 这里指定了除了'self'之外还允许https和data:协议的资源加载。 3. **资源类型**: 可以使用`script-src`, `style-src`, `img-src`, `frame-src`等指令分别控制不同类型的资源加载来源。 4. **允许特定资源**: `connect-src`控制连接请求(如WebSocket),`font-src`控制字体资源,`media-src`控制媒体资源等。 5. **执行策略**: `script-src-elem`和`script-nonce`用于处理内联脚本,`child-src`管理嵌套框架。 6. **报告策略**: `report-uri`指定当违反策略时发送报告的URL,以便开发者收集安全事件信息。 7. **沙箱模式**: 使用`sandbox`属性或`sandbox`-related directives如`allow-scripts`、`allow-top-navigation`等进一步限制页面行为。 为了确保CSP的有效性,需要在服务器端配置并始终发送这个头部信息给客户端。同时,开发人员也需要遵循CSP策略来编写代码,避免潜在的安全风险。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

ynchyong

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值