服務端可通過設定響應頭csp來實現:1.限制資源獲取;2.報告資源獲取越權如:
'content-security-policy': 'script-src \'self\'; form-action \'self\'; report-uri /report'\表轉義,避免node.js中因引號使字串被分割
1.所有資源(default-src)
2.指定資源型別限制(connect-src/img-src/script-src/style-src/media-src…)
3.其他
'self':代表和文件同源,包括相同的 url 協議和埠號。兩側單引號是必須的。
http: https::代表僅允許載入通過http或https協議引入的資源
:允許引入資源的指定網域名稱
1.限制inline-script(html行內js):script-src http: https:
2.限制其他域script的引入:script-src \'self\'
xss:往web頁面插入惡意script**,達到攻擊使用者的目的
限制並傳送報告:content-security-policy: report-uri /report不限制並傳送報告:content-security-policy-report-only:default-src \'self\' report-uri /report通過meta設定:
內容安全策略 CSP
內容安全策略 csp 是乙個額外的安全層,用於檢測並削弱某些特定型別的攻擊,包括跨站指令碼 xss 和資料注入攻擊等。摘自mdn 具體內容請參考mdn 對於react和vue,xss攻擊已經在框架裡進行了防範,但是使用 dangerouslysetinnerhtml react 和 v html v...
CSP內容安全策略
csp介紹 使用方法 維基百科 csp 的主要目標是減少和報告 xss 攻擊 xss 攻擊利用了瀏覽器對於從伺服器所獲取的內容的信任。惡意指令碼在受害者的瀏覽器中得以執行,因為瀏覽器信任其內容 即使有的時候這些指令碼並非來自於它本該來的地方。csp通過指定有效域 即瀏覽器認可的可執行指令碼的有效 使...
Web 安全之內容安全策略 CSP
內容安全策略 csp,content security policy 是乙個附加的安全層,用於幫助檢測和緩解某些型別的攻擊,包括跨站指令碼攻擊 xss 和資料注入等攻擊。這些攻擊可用於實現從資料竊取到 破壞或作為惡意軟體分發版本等用途。內容安全策略在現代瀏覽器中已經包含,使用的是 w3c csp 1...