使伺服器管理員可以通過指定瀏覽器應認為是可執行指令碼的有效源的域來減少或消除xss可能發生的向量。然後,相容csp的瀏覽器將僅執行從這些允許列出的域接收的原始檔中載入的指令碼,忽略所有其他指令碼(包括內聯指令碼和事件處理html屬性)。
原始碼分析進行下方的實驗原始碼<?php$headercsp
="content-security-policy: script-src 'self' 'unsafe-inline' 'nonce-tmv2zxigz29pbmcgdg8gz2l2zsb5b3ugdxa=';"
;header
($headercsp);
// disable xss protections so that inline alert boxes will work
header (
"x-xss-protection: 0");
#?>
<?php
if(isset (
$_post
['include'])
)$page
['body'].
='';
分析這個csp策略,只允許self,unsafe-inline的js指令碼。『unsafe-inline』 'nonce-tmv2zxigz29pbmcgdg8gz2l2zsb5b3ugdxa='這個指的是,允許內聯的指令碼,並且必須帶有nonce值。
進行下方的實驗原始碼<?php$headercsp
="content-security-policy: script-src 'self';"
;header
($headercsp);
?>
<?php
if(isset (
$_post
['include'])
)$page
['body'].
='';
functionclickbutton()
function
solvesum
(obj)
}var solve_button = document.
getelementbyid
("solve");
if(solve_button));
}
分析禁止執行的是不符合策略的js指令碼,而不是直接的js**。這裡是在可以執行的js**處,換成了我們自己的js**。同時注意到如下**:s.src ="source/jsonp.php?callback=solvesum"
;
進行下方的實驗}
分析直接把執行的js**寫在了php檔案了。Web 安全之內容安全策略 CSP
內容安全策略 csp,content security policy 是乙個附加的安全層,用於幫助檢測和緩解某些型別的攻擊,包括跨站指令碼攻擊 xss 和資料注入等攻擊。這些攻擊可用於實現從資料竊取到 破壞或作為惡意軟體分發版本等用途。內容安全策略在現代瀏覽器中已經包含,使用的是 w3c csp 1...
Web 安全之內容安全策略 CSP
內容安全策略 csp,content security policy 是乙個附加的安全層,用於幫助檢測和緩解某些型別的攻擊,包括跨站指令碼攻擊 xss 和資料注入等攻擊。這些攻擊可用於實現從資料竊取到 破壞或作為惡意軟體分發版本等用途。內容安全策略在現代瀏覽器中已經包含,使用的是 w3c csp 1...
CSP 內容安全策略
服務端可通過設定響應頭csp來實現 1.限制資源獲取 2.報告資源獲取越權 資源1 空格 關鍵字1 資源2 關鍵字2 如 content security policy script src self form action self report uri report ps 表轉義,避免node....