前端安全-内容安全策略CSP(Content Security Policy)

这篇具有很好参考价值的文章主要介绍了前端安全-内容安全策略CSP(Content Security Policy)。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

目录

CSP

xss

使用方法

http头部设置

meta标签设置

策略集组成

常见指令

default-src

report-uri

示例 

指令(属性)

 指令值(属性值)

CSP学习链接 


CSP

内容安全策略,为了页面内容安全而制定的一系列防护策略。可以通过CSP指定策略来规定页面加载的内容来源(这里的内容可以指脚本、图片、iframe、style等等可能的远程的资源)。

也可以理解为以个加载内容的白名单制度,开发者明确告诉客户端,哪些外部资源可以加载和执行。严格规定页面中有哪些资源,不在指定范围内的统统拒绝。它的实现和执行全部由浏览器完成,开发者只需提供配置。

其中指定脚本加载(script-src)可以有效的防止xss(跨站脚本攻击)。

xss

XSS(简介、原理、攻击类别(反射、存储、DOM型)、防范方式及原则、攻击举例及防范举例、XSS练习题及答案、XSS深入)_YF-SOD的博客-CSDN博客

使用方法

通过Content-Security-Policy:” 策略集"或Content-Security-Policy-Report-Only:” 策略集"来配置。当http header和meta标签都设置了的时候,浏览器会优先使用http header设置的csp策略。

Content-Security-Policy-Report-Only表示不会限制加载的内容,只是对加载内容不符合策略要求的进行上报,通过HTTP 请求发送到指定URI。故Content-Security-Policy-Report-Only必须与report-uri选项配合使用

http头部设置

前端安全-内容安全策略CSP(Content Security Policy)

meta标签设置

<meta http-equiv="content-security-policy" content="策略集">
<meta http-equiv="Content-Security-Policy" content="script-src 'self'; object-src 'none'; style-src cdn.example.org third-party.org; child-src https:">

策略集组成

策略集由指令、空格、指令值、分号组成,不同的指令值之间以空格分割,不同指令之间以分号(;)分割。

可以把指令理解为属性,指令值理解为属性对应的值,一个属性可对应多个值,多值之间以空格分割,属性之间以分号分割。

常见指令

default-src

表示为下图所有指令未设置时的默认加载策略。

report-uri

违规指令上报的uri地址,浏览器会使用POST方法,发送一个JSON对象将违规的日志上报。

示例 

Content-Security-Policy-Report-Only: default-src https:; report-uri /csp-violation-report-endpoint/

表示当默认加载策略(所有未设置指令的默认值)不是https请求时,会将日志上报到网页域名拼接 /csp-violation-report-endpoint/的uri地址。

指令(属性)

前端安全-内容安全策略CSP(Content Security Policy)

前端安全-内容安全策略CSP(Content Security Policy)

 

 指令值(属性值)

注意带引号的是不能将引号去掉的

前端安全-内容安全策略CSP(Content Security Policy)

CSP学习链接 

HTTP中的CSP ( Content Security Policy )内容安全策略 - 掘金 文章来源地址https://www.toymoban.com/news/detail-450267.html

到了这里,关于前端安全-内容安全策略CSP(Content Security Policy)的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • nginx配置相关策略Content-Security-Policy、Referrer-policy

    最近在安全测试中发现了一下网站的问题: 主要是配置一些参数:这些可以前端配置,也可以在nginx中进行配置 在nginx的server中添加请求头信息: add_header Content-Security-Policy “upgrade-insecure-requests;connect-src *”; add_header X-XSS-Protection “1; mode=block” always; add_header X-Content-Type-Opt

    2024年02月02日
    浏览(37)
  • 安全头响应头(一)Content-Security-Policy_add_header content-security-policy

    备注: 取决于’浏览器’的’支持’程度 [3]、来限制’哪些外部资源(如JavaScript、CSS、图像等)‘可以’被加载’,从’哪些url’加载 大大增强了’网页的安全性’,攻击者即使发现了漏洞,\\\'也没法’注入脚本 ②  启用CSP的两种方法 方式1: -- 添加’响应头’,注意\\\"单双引号\\\"嵌

    2024年04月28日
    浏览(31)
  • 安全头响应头(一)Content-Security-Policy

    一  Content Security Policy  CSP 中文翻译 ①  背景引入 ②  启用CSP的 两种 方法 ③    CSP语法 ④  CSP指令汇总   各个指令的解读 Content Security Policy (CSP)中blob:的用法   object-src blob  blob协议 ⑤ scp官网default-src指令解读    default-src指令 ⑥     CSP 常用 source 值 source相关参考 

    2024年02月07日
    浏览(36)
  • CSP内容安全策略原理与绕过

    Content Security Policy (CSP)内容安全策略,是一个附加的安全层,有助于检测并缓解某些类型的攻击,包括跨站脚本(XSS)和数据注入攻击。 CSP的特点就是他是在浏览器层面做的防护,是和同源策略同一级别,除非浏览器本身出现漏洞,否则不可能从机制上绕过。 CSP只允许被

    2024年02月10日
    浏览(46)
  • 「 网络安全术语解读 」内容安全策略CSP详解

    引言:什么是CSP,它为什么可以防御一些常见的网络攻击,比如XSS攻击,具体原理是什么?以及如何绕过CSP? CSP(Content Security Policy,内容安全策略)是一种网络安全技术,它通过限制网页中可以加载的资源(如脚本和图像),来防止恶意攻击,如跨站脚本攻击(XSS)。CSP的

    2024年02月02日
    浏览(47)
  • 关于允许TRACE方法,HTTP X-XSS-Protection缺失,HTTP Content-Security-Policy缺失,X-Frame-Options Header未配置安全处理方法

    提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档 基于Apache Web服务器对一下发现的安全问题进行配置处理,包含允许TRACE方法,HTTP X-XSS-Protection缺失,HTTP Content-Security-Policy缺失,X-Frame-Options Header未配置,HTTP X-Download-Options缺失,HTTP X-Content-Type-Options缺失,HTTP

    2024年02月07日
    浏览(41)
  • Refused to frame ‘XXX‘ because an ancestor violates the following Content Security Policy directive:

    问题:Chrome无痕模式下,无法访问iframe嵌套的页面,页面类似白屏 定位原因:CSP安全策略问题,但是服务端无法支持修改 解决:option中添加一句请求头 所有option:

    2023年04月09日
    浏览(52)
  • Refused to load the script ‘xxxx.js‘ because it violates the following Content Security Policy ...

    在使用Electron封装一些模块的时候,出现以下错误: Refused to load the script ‘https://unpkg.com/xxxx.js’ because it violates the following Content Security Policy directive: “script-src ‘self’ ‘unsafe-eval’ ‘unsafe-inline’ data:”. Note that ‘script-src-elem’ was not explicitly set, so ‘script-src’ is used as a f

    2024年02月09日
    浏览(36)
  • Web 安全之 Permissions Policy(权限策略)详解

    Permissions Policy 为 web 开发人员提供了明确声明哪些功能可以在网站上使用,哪些功能不能在网站上使用的机制。可以设置一组策略,用于限制站点代码可以访问的 API 或者修改浏览器对某些特性的默认行为。设置 Permissions-Policy 可以在代码库不断演进的同时强制执行最佳实践

    2024年02月09日
    浏览(42)
  • 安全之安全(security²)博客目录导读

    研究方向:安全之安全 研究内容:ARMRISC-V安全架构、TF-A/TEE/Hafnium之安全、GP安全认证IDA逆向分析、静动态代码分析、低功耗等,欢迎您的关注 💖💖         1、ARM安全架构及其发展趋势(转载)         2、ARMv9及其关键特性介绍(转载)         3、ARMv9-A:如何利

    2024年02月13日
    浏览(44)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包