内容安全策略(content-security-policy)

最新推荐文章于 2024-05-14 19:06:35 发布
最新推荐文章于 2024-05-14 19:06:35 发布
阅读量3w 收藏 36
点赞数 9
分类专栏: 维护 文章标签: web 安全 内容安全策略 security policy
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ynchyong/article/details/112005292
版权

内容安全策略

1. iframe

在使用iframe 的时候

<iframe style="border:0;width:100%;height:100%" src="https://github.com/join"/>

请求拒绝
经查 报的是
Refused to frame 'https://github.com/' because an ancestor violates the following Content Security Policy directive: "frame-ancestors 'none'".

Refused to frame ‘https://github.com/’ because an ancestor violates the following Content Security Policy directive: “frame-ancestors ‘none’”.

原因是 点击劫持与安全策略

点击劫持与安全策略

禁止页面被放在iframe里加载主要是为了防止点击劫持(Clickjacking):
防止点击劫持(Clickjacking)
具体的,对于点击劫持,主要有 3 项应对措施:

  • CSP(Content Security Policy,即内容安全策略)
  • X-Frame-Options
  • framekiller

服务端设置

通过设置 HTTP 响应头来声明 CSP 和X-Frame-Options,例如:

# 不允许被嵌入,包括<frame>, <iframe>, <object>, <embed> 和 <applet>
Content-Security-Policy: frame-ancestors 'none'
# 只允许被同源的页面嵌入
Content-Security-Policy: frame-ancestors 'self'
# 只允许被白名单内的页面嵌入
Content-Security-Policy: frame-ancestors www.example.com

# 不允许被嵌入,包括<frame>, <iframe>, <embed> 和 <object>
X-Frame-Options: deny
# 只允许被同源的页面嵌入
X-
最低0.47元/天 解锁文章
ynchyong
关注
  • 9
    点赞
  • 36
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
CSP-内容安全策略
07-27 568
Content-Security-Policy 限制资源获取 报告资源获取越权 default-src 限制全局 指定资源类型限制(connect-src/img-src/script-src/style-src/media-src...) 常用限制 1.限制inline-script(html行内js)与其他域的script引入 2.限制外部地址跳转,form-action 3.等等 ...
内容安全策略(CSP)详解
weixin_47450807的博客
03-02 8150
在上一篇博客我们主要总结了XSS攻击,本篇博客主要总结内容安全策略CSP的相关内容。 一、定义 内容安全策略(CSP),是一种安全策略,其原理是当浏览器请求某一个网站时,告诉该浏览器申明文件可以执行,什么不可以执行。CSP是专门解决XSS攻击而生的神器。 CSP的引入会使得我们的引入扩展程序更加安全,并且可以由开发者指定可以加载扩展程序的类型,避免恶意的脚本在浏览器中执行,造成信息泄露问题。 二、CSP的意义 CSP是防XSS的利器,可以把其理解为白名单,开发者通过设置CSP的内容,来规定浏览器可以加载的资
Refused to display because an ancestor violates the following Content Security问题简单解决
AnNong
09-04 8287
Refused to display because an ancestor violates the following Content Security Policy directive: "frame-ancestors 'self'
解决vue前端iframe框架嵌套第三方网址拒绝访问
HD243608836的博客
04-16 1938
Refused to display '嵌套的网址' in a frame because it set 'X-Frame-Options' to 'sameorigin'.
网络安全最全Content-Security-Policy —— HTML HTTP的内容安全策略,面试网络安全系统架构
最新发布
2401_84247760的博客
05-14 703
定义使用和等元素加载的 Web Worker 和嵌套浏览上下文的有效来,不符合要求的请求将被用户代理视为致命的网络错误如果要规范嵌套的浏览上下文和worker,应该分别使用frame src和worker src指令,而不是child src。
内容安全策略
IT新技术
05-03 1388
更多HTML 5文章请查阅HTML 6在线网站http://www.html5online.com.cn 本文概述         在传统Web应用程序中,数据的安全性是通过同源策略来实现的。站点A中的代码只能访问站点A中的数据。每一个站点均处于孤立状态,从而保证每一个站点中数据的安全性。从理论上来说,这种做法是无懈可击的,但事实上,许多网络攻击者都已经聪明地发现了如何突破这种限制的方法。
内容安全策略 (CSP)
allway2的博客
09-05 6003
base64, iVBORw0KGgoAAAANSUhEUgAAAAUA%0A AAAFCAYAAACNbyblAAAAHElEQVQI12P4//8/w38GIAXDIBKE0DHxgljNBAAO%0A 9TXL0Y4OHwAAAABJRU5ErkJggg==',因为它违反了以下内容安全策略指令:“default-src.'none 请注意,'img-src' 没有显式设置,所以 'default-src' 用作后备。,因为它违反了以下内容安全策略指令:“default-src 'none'”。
内容安全策略 Content-Security-Policy
热门推荐
qq_30436011的博客
10-24 3万+
1、限制资源获取:限制网页当中一系列的资源获取的情况,从哪里获取,请求发到哪个地方限制方式:default-src限制全局的和链接有关的作用范围根据资源类型(connect-src、img-src等),限制资源范围2、报告资源获取越权:在网页当中获取了一些我们不应该获取的资源的时候,给服务进行报告,报告资源获取越权,然后做出调整之所以报这个错误,就是我们加了这个头的作用。这个时候 inline脚本还是不能执行的。如果引入外链的脚本文件,则会报错,这样就可限制,只能使用我们本站使用的脚本。
Web 安全内容安全策略详解(Content-Security-Policy,CSP)
乌龙茶不甜的博客
04-27 1万+
1.CSP 简介 内容安全策略Content Security Policy,简称CSP)是一种以可信白名单作机制,来限制网站是否可以包含某些来源内容,缓解广泛的内容注入漏洞,比如 XSS。 简单来说,就是我们能够规定,我们的网站只接受我们指定的请求资源。默认配置下不允许执行内联代码(2.CSP 使用方式 CSP可以由两种方式指定: HTTP Header 和 HTML。 通过定义在HTTP header 中使用: "Content-Security-Policy:" 策略集 通过定义在 HTML me
ContentSecurityPolicyFilter:一个可配置的Java Servlet过滤器,将“ Content-Security-Policy”标头添加到ServletResponse
05-02
内容安全策略过滤器(Java) 将“ Content-Security-Policy”或“ Content-Security-Policy-Report-Only”标头添加到响应中。 另请参阅: 通常,您只需要有限的数目,也不需要任何init参数。 如果未定义init参数...
Disable Content-Security-Policy-crx插件
04-02
禁用Web应用程序测试的内容安全策略。 当图标彩色时,CSP标题被禁用。 以您自己的风险使用。 这会禁用选项卡的内容安全策略标题。 在测试新的第三方标记包含在页面上的资源时使用此功能。 单击扩展图标以禁用选项卡...
信息安全策略的概念及内容
01-20
详细解释了信息安全策略的概念及内容。包括信息安全策略的制定、信息安全策略制定过程、信息安全策略框架、信息安全策略的配套标准、信息安全策略的推行、信息安全策略的推进手段等内容
Always Disable Content-Security-Policy-crx插件
04-02
禁用当前页面的内容安全策略。 测试新的第三方标签在页面上包含哪些资源时很有用。 单击扩展程序图标以重新启用CSP标头。 再次单击扩展图标以禁用CSP标头。 仅将此作为最后的手段。 禁用CSP意味着禁用旨在保护您免受...
ember-cli-content-security-policy
04-28
该策略可以通过Content-Security-Policy HTTP响应标头或作为index.html文件中的元标记来传递。 如果配置为使用HTTP响应标头提供CSP,则标头将自动设置(如果与开发中的Ember CLI的快速服务器或生产中的一起使用)...
【浏览器安全机制】一文带你了解内容安全策略(CSP)及沙箱环境
等风来
08-25 6892
以上为浏览器安全机制之内容安全策略(CSP)及沙箱环境详析,内容安全策略(CSP)和沙箱环境在Web应用程序和浏览器内提供了额外的安全层,有助于防止恶意攻击和数据泄露,读者可深入学习。我是秋说,我们下次见。
WEB应用内容安全策略(Content Security Policy)
A_991128a的博客
01-15 1708
它通过让开发者对自己WEB应用声明一个外部资源加载的白名单,使得客户端在运行WEB应用时对外部资源的加载做出筛选和识别,只加载被允许的网站资源.对于不被允许的网站资源不予加载和执行.同时,还可以将WEB应用中出现的不被允许的资源链接和详情报告给我们指定的网址.如此,大大增强了WEB应用的安全性.使得攻击者即使发现了漏洞,也没法注入脚本,除非还控制了一台列入了白名单的服务器.使用这种模式,将会直接阻止非法的外部资源加载,同时也可以选择是否配置将非法资源加载的链接和行为报告给我们指定的网址。
前端安全配置之Content-Security-Policy(csp)
极客神殿
05-05 1万+
什么是CSP CSP全称Content Security Policy ,可以直接翻译为内容安全策略,说白了,就是为了页面内容安全而制定的一系列防护策略. 通过CSP所约束的的规责指定可信的内容来源(这里的内容可以指脚本、图片、iframe、fton、style等等可能的远程的资源)。通过CSP协定,让WEB处于一个安全的运行环境中。 有什么用? 我们知道前端有个很著名的”同源策略”,简而言之,就...
内容安全策略(CSP)详解
qq_34639706的博客
10-08 2042
内容安全策略(CSP),其核心思想十分简单:网站通过发送一个 CSP 头部,来告诉浏览器什么是被授权执行的与什么是需要被禁止的。其被誉为专门为解决XSS攻击而生的神器。 1.CSP是什么 CSP指的是内容安全策略,为了缓解很大一部分潜在的跨站脚本问题,浏览器的扩展程序系...
Content-Security-Policy —— HTML HTTP的内容安全策略(1)
2401_83621426的博客
03-16 719
a>标签的ping属性。
如何配置安全Content-Security-Policy字段
04-01
要配置安全Content-Security-Policy字段,需要遵循以下步骤: 1. 确定需要保护的资源:包括 JavaScript、CSS、图片、字体等。 2. 定义策略:指定哪些资源可以被加载,哪些不可以。例如,只允许从指定的域名加载资源,禁止内联脚本等。 3. 部署策略:在HTTP响应头中添加Content-Security-Policy字段,指定策略。 以下是一些常见的策略示例: 只允许从指定域名加载资源: Content-Security-Policy: default-src 'self' https://example.com; 禁止内联脚本和样式: Content-Security-Policy: script-src 'none'; style-src 'none'; 禁止加载任何外部资源: Content-Security-Policy: default-src 'none'; 允许加载指定类型的资源: Content-Security-Policy: img-src 'self' data:; 注意,配置Content-Security-Policy字段需要谨慎,不当的配置可能会导致网站无法正常运行。建议在开发和测试阶段进行测试和验证,确保策略不会影响网站的功能和用户体验。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

ynchyong

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值