內容安全策略 (csp, content security policy) 是乙個附加的安全層,用於幫助檢測和緩解某些型別的攻擊,包括跨站指令碼攻擊 (xss) 和資料注入等攻擊。
這些攻擊可用於實現從資料竊取到**破壞或作為惡意軟體分發版本等用途。內容安全策略在現代瀏覽器中已經包含,使用的是 w3c csp 1.0 標準中描述的 content-security-policy 頭部和指令。
那麼如何應用?
csp 可以由兩種方式指定:http header 和 html。http 是在 http 由增加 header 來指定,而 html 級別則由 meta 標籤指定。
csp 有兩類:content-security-policy 和 content-security-policy-report-only。(大小寫無關)
"content-security-policy:" 策略
"content-security-policy-report-only:" 策略http content-security-policy 頭可以指定乙個或多個資源是安全的,而content-security-policy-report-only則是允許伺服器檢查(非強制)乙個策略。多個頭的策略定義由優先採用最先定義的。
html meta :
如果使用者瀏覽器已經為當前文件執行了乙個 csp 的策略,則會跳過 meta 的定義。如果 meta 標籤缺少 content 屬性也同樣會跳過。
針對開發者草案中特別的提示一點:為了使用策略生效,應該將 meta 元素頭放在開始位置,以防止提高人為的 csp 策略注入。
本文** oneapm 官方部落格
Web 安全之內容安全策略 CSP
內容安全策略 csp,content security policy 是乙個附加的安全層,用於幫助檢測和緩解某些型別的攻擊,包括跨站指令碼攻擊 xss 和資料注入等攻擊。這些攻擊可用於實現從資料竊取到 破壞或作為惡意軟體分發版本等用途。內容安全策略在現代瀏覽器中已經包含,使用的是 w3c csp 1...
DVWA之內容安全策略(CSP)
使伺服器管理員可以通過指定瀏覽器應認為是可執行指令碼的有效源的域來減少或消除xss可能發生的向量。然後,相容csp的瀏覽器將僅執行從這些允許列出的域接收的原始檔中載入的指令碼,忽略所有其他指令碼 包括內聯指令碼和事件處理html屬性 原始碼 分析 進行下方的實驗 原始碼 headercsp cont...
CSP 內容安全策略
服務端可通過設定響應頭csp來實現 1.限制資源獲取 2.報告資源獲取越權 資源1 空格 關鍵字1 資源2 關鍵字2 如 content security policy script src self form action self report uri report ps 表轉義,避免node....