HTTP(十)—— Content-Security-Policy

最新推荐文章于 2024-07-01 21:19:57 发布
最新推荐文章于 2024-07-01 21:19:57 发布
阅读量2.9k 收藏 1
点赞数
分类专栏: HTTP
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zhanghuali0210/article/details/82107978
版权

作用:

  • 限制资源获取
  • 报告资源获取越权

限制方式:

  • default-scr限制全局
  • 指定资源类型

资源类型:

  • connect-src
  • img-src
  • mainfest-src
  • font-src
  • style-src
  • media-src
  • frame-src
  • script-src

测试:

servre.js:

const http = require('http')
const fs = require('fs')
http.createServer(function(request, response) {
    console.log('request come', request.url)
    const html = fs.readFileSync('test.html')
    response.writeHead(200, {
        'Content-Type': 'text/html',
        'Content-Security-Policy': 'default-src http: https:'
    })
     response.end(html)
}).listen(8888)
console.log('server listening on 8888')

test.html:

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>Title</title>
</head>
<body>
<div>This is content</div>
<script>
    console.log('inline js')
</script>
</body>
</html>

然后启动服务去访问,会出现如下报错:

然后修改server.js和test.html如下:

const http = require('http')
const fs = require('fs')
http.createServer(function(request, response) {
    console.log('request come', request.url)
    if(request.url === '/') {
        const html = fs.readFileSync('test.html')
        response.writeHead(200, {
            'Content-Type': 'text/html',
            'Content-Security-Policy': 'default-src http: https:'
        })
        response.end(html)
    } else {
        response.writeHead(200, {
            'Content-Type': 'text/html',
            'Content-Type': 'applicationjavascript'
        })
        response.end('console.log("loaded script")')
    }
}).listen(8888)
console.log('server listening on 8888')
<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>Title</title>
</head>
<body>
<div>This is content</div>
<script>
    console.log('inline js')
</script>
<script src="/test.js"></script>
</body>
</html>

然后重启服务会显示如下,说明inline script就被受限制,而loaded script是可以执行的。

zhanghuali2019
关注
专栏目录
Vulhub —— MERCY-v2 实战
战神/calmness的博客
12-24 1548
目录 目标 环境 过程 信息收集 nmap扫描 访问8080端口页面 目录遍历 dirb gobuster manager页面 扫描nikto 枚举 用户enum4linux 版本信息 搜索tomcat 漏洞 访问共享 搜索漏洞rips 0.53 文件包含 配置信息tomcat7/tomcat-users.xml 获得用户名和密码 文件上传 获取shell 信息扫描 LinEnum.sh扫描到的用户: linux-exploit-suggester.sh 收集
csp:包 csp 提供了一个 Go HTTP 处理程序,用于设置 Content-Security-Policy 标头和接收 CSP 违规报告
06-26
热电偶 csp 提供了一个 Go HTTP 处理程序,用于设置 Content-Security-Policy 标头和接收 CSP 违规报告。 用法 go get sourcegraph.com/sourcegraph/csp
HTTP Content-Security-Policy缺失,快速解决
kzhzhang的专栏
05-06 2万+
Content-Security-Policy内容安全策略 (CSP) 是一个额外的安全层,用于检测并削弱某些特定类型的攻击,包括跨站脚本 (XSS) 和数据注入攻击等。无论是数据盗取、网站内容污染还是散发恶意软件,这些攻击都是主要的手段。CSP 的实质就是白名单制度,开发者明确告诉客户端,哪些外部资源可以加载和执行,等同于提供白名单。它的实现和执行全部由浏览器完成,开发者只需提供配置。CSP 大大增强了网页的安全性。攻击者即使发现了漏洞,也没法注入脚本,除非还控制了一台列入了白名单的可信主机。 注意:C
AppScan安全专项问题解决
m0_61869253的博客
06-24 1207
网络安全行业产业以来,随即新增加了几个网络安全行业岗位︰网络安全专家、网络安全分析师、安全咨询师、网络安全工程师、安全架构师、安全运维工程师、渗透工程师、信息安全管理员、数据安全工程师、网络安全运营工程师、网络安全应急响应工程师、数据鉴定师、网络安全产品经理、网络安全服务工程师、网络安全培训师、网络安全审计员、威胁情报分析工程师、灾难恢复专业人员、实战攻防专业人员…随着个人能力的不断提升,所从事工作的职业价值也会随着自身经验的丰富以及项目运作的成熟,升值空间一路看涨,这也是为什么受大家欢迎的主要原因。
HTTP响应头未设置‘Content-Security-Policy
weixin_46356409的博客
01-18 3014
HTTP响应头未设置’Content-Security-Policy’时,表示服务器没有为网页设置内容安全策略(Content Security Policy,CSP)。通过设置内容安全策略,可以限制浏览器加载哪些类型的资源,从而提高网站的安全性。网站容易受到XSS攻击:如果没有设置内容安全策略,攻击者可以在网站上注入恶意脚本,从而窃取用户信息、篡改网页内容或进行其他恶意操作。网站性能可能受到影响:如果没有设置内容安全策略,浏览器需要下载和执行所有类型的资源,这可能会导致网站性能下降。
Web 安全之内容安全策略(Content-Security-Policy,CSP)配置问题
热门推荐
baiyongliang
05-23 3万+
简单的配置方式:Content-Security-Policy,X-Frame-Options头未设置”警告的过滤器 1.CSP 简介 内容安全策略(Content Security Policy,简称CSP)是一种以可信白名单作机制,来限制网站是否可以包含某些来源内容,缓解广泛的内容注入漏洞,比如 XSS。 简单来说,就是我们能够规定,我们的网站只接受我们指定的请求资源。默认配置下不允许执行...
web安全测试之appscan – “Content-Security-Policy”头缺失或不安全
Programming
06-05 1万+
web安全测试之appscan – “Content-Security-Policy”头缺失或不安全 - 猿码设计师https://www.yuanmadesign.com/ymdesign/appscan-web-testAppscan是一款安全漏洞扫描软件,由IBM公司研发,后又被卖给了印度公司HCL。在web安全测试中,今天我们说下扫描结果中包含Content-Security-Policy请求头header的缺失或不安全的时候,我们该如何应对。首先,它的严重性低。AppScan 检测到 Conten
2024年Content-Security-Policy —— HTML HTTP的内容安全策略(1)
2401_84252281的博客
05-01 469
严格的动态源代码表达式指定,通过使用nonce或hash将显式给予标记中存在的脚本的信任传播到该根脚本加载的所有脚本。:严格的动态源代码表达式指定,通过使用nonce或hash将显式给予标记中存在的脚本的信任传播到该根脚本加载的所有脚本。:严格的动态源代码表达式指定,通过使用nonce或hash将显式给予标记中存在的脚本的信任传播到该根脚本加载的所有脚本。:严格的动态源代码表达式指定,通过使用nonce或hash将显式给予标记中存在的脚本的信任传播到该根脚本加载的所有脚本。允许将内容视为来自其正常来源。
安卓Android源码——chromeview-master.rar
10-11
此外,还可以实现内容安全策略(Content Security Policy),防止跨站脚本攻击等安全问题。 6. **API接口**:ChromeView提供了丰富的API供开发者调用,比如支持注入JavaScript代码、控制页面的前进后退、启用或禁用...
HTTP协议特性之CSP 指令——NodeJs版
Science Explorer
08-25 788
一、Content-Security-Policy HTTP 响应头 Content-Security-Policy 允许站点管理者在指定的页面控制用户代理的资源。除了少数例外,这条政策将极大地指定服务源 以及脚本端点。这将帮助防止跨站脚本攻击(Cross-Site Script) (XSS)....
hapi-security
05-31
5. **CSP(Content Security Policy)**:通过限制网页可以加载的资源类型和来源,减少因恶意脚本或注入导致的安全问题。"hapi-security" 可以帮助设置和管理CSP策略。 6. **HTTP头部安全**:设置如`X-Frame-...
检测到目标Content-Security-Policy响应头缺失
lxyoucan的博客
07-14 2082
HTTP 响应头Content-Security-Policy允许站点管理者控制用户代理能够为指定的页面加载哪些资源。除了少数例外情况,设置的政策主要涉及指定服务器的源和脚本结束点。Content-Security-Policy响应头的缺失使得目标URL更易遭受跨站脚本攻击。
AppScan检测“Content-Security-Policy”头缺失或不安全
liudoyang的博客
12-31 2万+
Content-Security-Policy”头缺失或不安全 用AppScan对url进行检测出现“Content-Security-Policy”头缺失或不安全问题 解决方法: 在拦截器或者过滤器中添加 response.setHeader("Content-Security-Policy", "default-src 'self'; script-src 'self'; frame-anc...
漏洞修复:检测到目标Content-Security-Policy响应头缺失
最新发布
yjfkeifk的博客
07-01 1284
对于 IIS,请参阅:https://technet.microsoft.com/pl-pl/library/cc753133%28v=ws.10%29.aspx。对于 nginx,请参阅:http://nginx.org/en/docs/http/ngx_http_headers_module.html。对于 Apache,请参阅:http://httpd.apache.org/docs/2.2/mod/mod_headers.html。名称:Content-Security-Policy
Web安全之Content Security Policy(CSP 内容安全策略)详解
路多辛的所思所想
04-12 6550
Content-Security-Policy值由一个或多个指令组成,多个指令用分号分隔。script-src:外部脚本style-src:样式文件img-src:图片文件media-src:媒体文件(音频和视频)font-src:字体文件object-src:插件(比如 Flash)child-src:框架frame-ancestors:嵌入的外部资源(比如、、和)
【已解决】“Content-Security-Policy”头缺失
专注于Java领域开发 关注我 带你玩转Java
06-16 9932
【已解决】“Content-Security-Policy”头缺失
网站扫描出的漏洞解决:检测到目标Content-Security-Policy、X-XSS-Protection/Content-Security-Policy响应头缺失、加密算法等处理修复方法
本博客记录了从2014年以来在工作学习中遇到的技术问题、解决方法以及部分个人人生经历、经验等内容。
03-17 5701
Content Security Policy (CSP) 通过告诉浏览器一系列规则,严格规定页面中哪些资源允许有哪些来源, 不在指定范围内的统统拒绝,可以服务器添加 Content-Security-Policy 头信息来指定规则解决。connect-src *会使安全进行升级,即一个http页面中所有调用的静态资源会自动升级使用https调用。但这样也会产生很多问题,如果调用的资源实际并不支持https的话,这时如果不是线上环境可以不理会,线上环境使用https就没有这样的问题了。
Nginx配置Http响应头安全策略_nginx content-security-policy
2401_84181383的博客
04-10 3347
是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!**
HTML事件中的XSS漏洞解析-01
有效的防御策略包括:对用户输入进行严格的过滤和编码、使用HTTP头部(如Content-Security-Policy)限制脚本执行、以及保持应用和框架的最新安全更新。通过学习和实践,我们可以更好地保护Web应用程序免受XSS攻击的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值