无码人妻视频一区二区三区,亚洲国产精品色一区二区三区色牛,亚洲国产中文精品碰碰,九九视频这里只有精品

1345瀏覽量

Content Security Policy 入門教程

來源: 時間:2017-08-22

Content Security Policy 入門教程


跨域腳本攻擊 XSS 是最常見、危害最大的網(wǎng)頁安全漏洞。

為了防止它們,要采取很多編程措施,非常麻煩。很多人提出,能不能根本上解決問題,瀏覽器自動禁止外部注入惡意腳本?這就是"網(wǎng)頁安全政策"(Content Security Policy,縮寫 CSP)的來歷。本文詳細(xì)介紹如何使用 CSP 防止 XSS 攻擊。

一、簡介

CSP 的實質(zhì)就是白名單制度,開發(fā)者明確告訴客戶端,哪些外部資源可以加載和執(zhí)行,等同于提供白名單。它的實現(xiàn)和執(zhí)行全部由瀏覽器完成,開發(fā)者只需提供配置。CSP 大大增強(qiáng)了網(wǎng)頁的安全性。攻擊者即使發(fā)現(xiàn)了漏洞,也沒法注入腳本,除非還控制了一臺列入了白名單的可信主機(jī)。

兩種方法可以啟用 CSP。一種是通過 HTTP 頭信息的Content-Security-Policy的字段。


    Content-Security-Policy: script-src 'self'; object-src 'none'; 

    style-src cdn.example.org third-party.org; child-src https:


另一種是通過網(wǎng)頁的 標(biāo)簽。   


 <meta http-equiv="Content-Security-Policy" content="script-src 'self'; object-src 'none'; style-src cdn.example.org third-party.org; child-src https:">

上面代碼中,CSP 做了如下配置。

  • 腳本:只信任當(dāng)前域名
  • 標(biāo)簽:不信任任何URL,即不加載任何資源
  • 樣式表:只信任cdn.example.org和third-party.org
  • 框架(frame):必須使用HTTPS協(xié)議加載
  • 其他資源:沒有限制
  • 啟用后,不符合 CSP 的外部資源就會被阻止加載。

    Chrome 的報錯信息。

    Firefox 的報錯信息。

    二、限制選項

    CSP 提供了很多限制選項,涉及安全的各個方面。

    2.1 資源加載限制

    以下選項限制各類資源的加載。

    • script-src:外部腳本
    • style-src:樣式表
    • img-src:圖像
    • media-src:媒體文件(音頻和視頻)
    • font-src:字體文件
    • object-src:插件(比如 Flash)
    • child-src:框架
    • frame-ancestors:嵌入的外部資源

聯(lián)系我們

一次需求提交或許正是成就一個出色產(chǎn)品的開始。
歡迎填寫表格或發(fā)送合作郵件至: qczsky@126.com

大理青橙科技

電話:13988578755 13988578755

郵箱:qczsky@126.com

地址:大理市下關(guān)龍都春天10層

如果您無法識別驗證碼,請點圖片更換

长武县| 临漳县| 湘阴县| 沈丘县| 吴桥县| 分宜县| 突泉县| 泰来县| 长阳| 南召县| 深圳市| 铁岭市| 玛沁县| 正安县| 克山县| 利川市| 达日县| 梁山县| 错那县| 梅河口市| 庄浪县| 娄烦县| 唐河县| 柳江县| 大埔区| 寿宁县| 沂南县| 合山市| 馆陶县| 龙海市| 苏州市| 台安县| 隆德县| 柘城县| 扬州市| 布尔津县| 芒康县| 随州市| 阿拉善右旗| 湖州市| 宁蒗|