安全头响应头(一)Content-Security-Policy_add_header content-security-policy

这篇具有很好参考价值的文章主要介绍了安全头响应头(一)Content-Security-Policy_add_header content-security-policy。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

备注: 取决于’浏览器’的’支持’程度

[3]、来限制’哪些外部资源(如JavaScript、CSS、图像等)‘可以’被加载’,从’哪些url’加载

  1. 大大增强了’网页的安全性’,攻击者即使发现了漏洞,'也没法’注入脚本

add_header content-security-policy,2024年程序员学习,安全

②  启用CSP的两种方法

add_header content-security-policy,2024年程序员学习,安全

方式1: --> 添加’响应头’,注意"单双引号"嵌套

add_header Content-Security-Policy “script-src ‘self’; object-src ‘none’”;

方式2: --> html中’head标签’内嵌’meta标签’

优先级: 如果 HTTP 头与 Meta 定义’同时’存在,则’优先采用 HTTP 中’的定义

③   CSP语法

  1. default-src是’CSP指令’,多个指令之间用’英文分号;'分割;

  2. 'self’是’source’值,'多个’指令值用’英文空格’分割

④  CSP指令汇总  各个指令的解读

实质: ‘资源类型’ 限制选项,掌握’常见’的即可

  1. script-src:定义’js文件’的过滤策略

  2. style-src: 样式表’css’

  3. img-src: 图像’各种格式’

  4. media-src: 媒体文件’音频和视频’ --> 如’ , '等元素

  5. font-src: 字体文件

  6. object-src:插件’比如 Flash’

  7. child-src: 框架

  8. frame-src: 嵌入的’子frame’资源 ‘比如、、’

  9. connect-src:定义请求连接文件的过滤策略 ‘(通过 XHR、WebSockets、EventSource等)’

script-src * ‘self’ ‘unsafe-eval’ ‘unsafe-inline’ blob: data: gap:;

  1. worker-src:worker脚本 --> “了解”

  2. manifest-src:‘manifest 文件’

  3. default-src ‘self’ 用来设置上面’各个选项’的’默认’值 --> “当前域名”,需要’加引号’

备注: 如果同时设置某个单项限制’比如font-src’和’default-src’,前者会’覆盖’后者

+++++++++++ “其它” +++++++++++

base-uri:限制’<base#href>’

form-action:限制’<form#action>’

重点1:如果同一个限制选项’使用多次’,只有’第一次’会生效

重点2:由于 img-src ‘不存在’,它使用的是 ‘default-src’;如果’存在’,则会’覆盖’

Content Security Policy (CSP)中blob:的用法中blob:的用法 ")  object-src blob  blob协议

⑤ scp官网default-src指令解读   default-src指令

add_header content-security-policy,2024年程序员学习,安全

add_header content-security-policy,2024年程序员学习,安全

add_header content-security-policy,2024年程序员学习,安全

add_header content-security-policy,2024年程序员学习,安全

⑥    CSP 常用source值

+++++++ “(1) host-source” +++++++

备注: ‘推荐’完整的白名单,尽量不只使用’协议’或’通配符’

add_header content-security-policy,2024年程序员学习,安全

source相关参考

每个’CSP限制选项’可以设置’以下几种值’,这些值就构成了’白名单’。

  1. 多个主机名:example.org https://example.com:443

自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。

深知大多数网络安全工程师,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!

因此收集整理了一份《2024年网络安全全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。
add_header content-security-policy,2024年程序员学习,安全
add_header content-security-policy,2024年程序员学习,安全
add_header content-security-policy,2024年程序员学习,安全
add_header content-security-policy,2024年程序员学习,安全
add_header content-security-policy,2024年程序员学习,安全
add_header content-security-policy,2024年程序员学习,安全

既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上网络安全知识点,真正体系化!

由于文件比较大,这里只是将部分目录大纲截图出来,每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频,并且后续会持续更新

如果你觉得这些内容对你有帮助,可以添加VX:vip204888 (备注网络安全获取)
add_header content-security-policy,2024年程序员学习,安全

还有兄弟不知道网络安全面试可以提前刷题吗?费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!

王岚嵚工程师面试题(附答案),只能帮兄弟们到这儿了!如果你能答对70%,找一个安全工作,问题不大。

对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!

【完整版领取方式在文末!!】

93道网络安全面试题

add_header content-security-policy,2024年程序员学习,安全

add_header content-security-policy,2024年程序员学习,安全

add_header content-security-policy,2024年程序员学习,安全

内容实在太多,不一一截图了

黑客学习资源推荐

最后给大家分享一份全套的网络安全学习资料,给那些想学习 网络安全的小伙伴们一点帮助!

对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。

1️⃣零基础入门
① 学习路线

对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。

add_header content-security-policy,2024年程序员学习,安全

② 路线对应学习视频

同时每个成长路线对应的板块都有配套的视频提供:

add_header content-security-policy,2024年程序员学习,安全

一个人可以走的很快,但一群人才能走的更远。如果你从事以下工作或对以下感兴趣,欢迎戳这里加入程序员的圈子,让我们一起学习成长!

AI人工智能、Android移动开发、AIGC大模型、C C#、Go语言、Java、Linux运维、云计算、MySQL、PMP、网络安全、Python爬虫、UE5、UI设计、Unity3D、Web前端开发、产品经理、车载开发、大数据、鸿蒙、计算机网络、嵌入式物联网、软件测试、数据结构与算法、音视频开发、Flutter、IOS开发、PHP开发、.NET、安卓逆向、云计算文章来源地址https://www.toymoban.com/news/detail-861071.html

5a486d4c3ab8389e65ecb71ac0)

AI人工智能、Android移动开发、AIGC大模型、C C#、Go语言、Java、Linux运维、云计算、MySQL、PMP、网络安全、Python爬虫、UE5、UI设计、Unity3D、Web前端开发、产品经理、车载开发、大数据、鸿蒙、计算机网络、嵌入式物联网、软件测试、数据结构与算法、音视频开发、Flutter、IOS开发、PHP开发、.NET、安卓逆向、云计算

到了这里,关于安全头响应头(一)Content-Security-Policy_add_header content-security-policy的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • web开发中的安全和防御入门——csp (content-security-policy内容安全策略)

    偶然碰到iframe跨域加载被拒绝的问题,原因是父页面默认不允许加载跨域的子页面,也就是的content-security-policy中没有设置允许跨域加载。 简单地说,content-security-policy能限制页面允许和不允许加载的所有资源,常见的包括: iframe加载的子页面url js文件 图片、视频、音频、字

    2024年02月14日
    浏览(38)
  • [网络安全] DVWA之Content Security Policy (CSP) Bypass 攻击姿势及解题详析合集

    CSP 是 Content Security Policy(内容安全策略)的缩写,是一种用于增强 Web 应用程序安全性的安全机制。它通过允许网站管理员控制页面中加载内容的来源来减少跨站脚本攻击(XSS)等常见的安全风险。 CSP 的工作原理是通过定义一组策略规则,指定哪些来源可以被信任和允许加

    2024年02月05日
    浏览(53)
  • nginx配置相关策略Content-Security-Policy、Referrer-policy

    最近在安全测试中发现了一下网站的问题: 主要是配置一些参数:这些可以前端配置,也可以在nginx中进行配置 在nginx的server中添加请求头信息: add_header Content-Security-Policy “upgrade-insecure-requests;connect-src *”; add_header X-XSS-Protection “1; mode=block” always; add_header X-Content-Type-Opt

    2024年02月02日
    浏览(38)
  • 关于允许TRACE方法,HTTP X-XSS-Protection缺失,HTTP Content-Security-Policy缺失,X-Frame-Options Header未配置安全处理方法

    提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档 基于Apache Web服务器对一下发现的安全问题进行配置处理,包含允许TRACE方法,HTTP X-XSS-Protection缺失,HTTP Content-Security-Policy缺失,X-Frame-Options Header未配置,HTTP X-Download-Options缺失,HTTP X-Content-Type-Options缺失,HTTP

    2024年02月07日
    浏览(42)
  • Refused to frame ‘XXX‘ because an ancestor violates the following Content Security Policy directive:

    问题:Chrome无痕模式下,无法访问iframe嵌套的页面,页面类似白屏 定位原因:CSP安全策略问题,但是服务端无法支持修改 解决:option中添加一句请求头 所有option:

    2023年04月09日
    浏览(65)
  • Refused to load the script ‘xxxx.js‘ because it violates the following Content Security Policy ...

    在使用Electron封装一些模块的时候,出现以下错误: Refused to load the script ‘https://unpkg.com/xxxx.js’ because it violates the following Content Security Policy directive: “script-src ‘self’ ‘unsafe-eval’ ‘unsafe-inline’ data:”. Note that ‘script-src-elem’ was not explicitly set, so ‘script-src’ is used as a f

    2024年02月09日
    浏览(37)
  • 安全头响应头(三)​X-Content-Type-Options

    一  X-Content-Type-Options响应头                                             script标签  style  StyleSheet    JavaScript MIME type 文件扩展和Content-Type的映射关系 ①  基础铺垫 nginx(十八)mime.types的作用 ②  浏览器默认行为   ③    问题引入 现象及其相似  location和alias的搭配问

    2024年02月12日
    浏览(38)
  • Spring Security漏洞防护—HTTP 安全响应头

    Spring Security提供了 一套默认的安全HTTP响应头,以提供安全默认值。虽然这些头信息中的每一个都被认为是最佳实践,但应该注意的是,并不是所有的客户端都使用这些头信息,所以鼓励进行额外的测试。 你可以定制特定的header。例如,假设你想使用默认值,但你希望为 X-

    2024年02月03日
    浏览(38)
  • Spring Security 6.x 系列【46】漏洞防护篇之安全相关的HTTP响应头

    有道无术,术尚可求,有术无道,止于术。 本系列Spring Boot 版本 3.0.4 本系列Spring Security 版本 6.0.2 源码地址:https://gitee.com/pearl-organization/study-spring-security-demo

    2024年02月07日
    浏览(44)
  • 网络请求未知错误 CLEARTEXT communication to XX not permitted by network security policy 问题解决方案

    问题: 在进行网络请求时,日志中打印 CLEARTEXT communication to XX not permitted by network security policy 原因: Android P系统网络访问安全策略升级,限制了非加密的流量请求 Android P系统限制了明文流量的网络请求,之下的版本没有影响,所以okhttp3会抛出该异常。 解决方案: 方案1:降

    2024年02月11日
    浏览(37)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包