Content Security Polic (网页安全政策,缩写 CSP)
2017-01-11 11:08
267 查看
CSP是一种由开发者定义的安全性政策性申明,通过CSP所约束的的规责指定可信的内容来源(这里的内容可以指脚本、图片、iframe、fton、style等等可能的远程的资源)。通过CSP协定,让WEB处于一个安全的运行环境中。
CSP 大大增强了网页的安全性。攻击者即使发现了漏洞,也没法注入脚本,除非还控制了一台列入了白名单的可信主机。
一种是通过 HTTP 头信息的Content-Security-Policy的字段
另一种是通过网页的<meta>标签 <meta http-equiv="Content-Security-Policy" content="script-src 'self'; object-src 'none'; style-src cdn.example.org third-party.org; child-src https:">
http://caniuse.com/#feat=contentsecuritypolicy
http://www.html5rocks.com/en/tutorials/security/content-security-policy/
CSP 大大增强了网页的安全性。攻击者即使发现了漏洞,也没法注入脚本,除非还控制了一台列入了白名单的可信主机。
两种方法可以启用 CSP。
一种是通过 HTTP 头信息的Content-Security-Policy的字段Content-Security-Policy: script-src 'self'; object-src 'none'; style-src cdn.example.org third-party.org; child-src https:
另一种是通过网页的<meta>标签 <meta http-equiv="Content-Security-Policy" content="script-src 'self'; object-src 'none'; style-src cdn.example.org third-party.org; child-src https:">
资源加载限制指令表
指令 | 指令值示例 | 说明 |
---|---|---|
default-src | 'self' cnd.a.com | 定义针对所有类型(js、image、css、web font,ajax请求,iframe,多媒体等)资源的默认加载策略,某类型资源如果没有单独定义策略,就使用默认的。 |
script-src | 'self' js.a.com | 定义针对JavaScript的加载策略。 |
style-src | 'self' css.a.com | 定义针对样式的加载策略。 |
img-src | 'self' img.a.com | 定义针对图片的加载策略。 |
connect-src | 'self' | 针对Ajax、WebSocket等请求的加载策略。不允许的情况下,浏览器会模拟一个状态为400的响应。 |
font-src | font.a.com | 针对Web Font的加载策略。 |
object-src | 'self' | 针对<object>、<embed>或<applet>等标签引入的flash等插件的加载策略。 |
media-src | media.a.com | 针对<audio>或<video>等标签引入的html多媒体的加载策略。 |
frame-src | 'self' | 针对frame的加载策略。 |
sandbox | allow-forms | 对请求的资源启用sandbox(类似于iframe的sandbox属性)。 |
report-uri | /report-uri | 告诉浏览器如果请求的资源不被策略允许时,往哪个地址提交日志信息。 特别的:如果只想让浏览器汇报日志,而不阻止任何内容。可以改用Content-Security-Policy-Report-Only响应头。 |
指令值组合说明
指令值 | 指令示例 | 说明 |
---|---|---|
* | img-src * | 允许任何内容。 |
'none' | img-src 'none' | 不允许任何内容。 |
'self' | img-src 'self' | 允许来自相同来源的内容(相同的协议、域名和端口)。 |
data | img-src data | 允许data:协议(例如base64编码的图片)。 |
www.a.com | img-src img.a.com | 允许加载指定域名的资源。 |
*.a.com | img-src *.a.com | 允许加载a.com任何子域的资源。 |
https://img.com | img-src https://img.com | 允许加载img.com的https资源(协议需匹配)。 |
https: | img-src https: | 允许加载https资源。 |
'unsafe-inline' | script-src 'unsafe-inline' | 允许加载inline资源(例如常见的style属性,onclick,inline js和inline css等等)。 |
'unsafe-eval' | script-src 'unsafe-eval' | 允许加载动态js代码,例如eval()。 |
运营商劫持临时解决方案
<!--脚本加载白名单 【临时解决方案,后续还是要使用https来解决这个问题】--> <meta http-equiv="Content-Security-Policy" content="script-src 'unsafe-inline' 'unsafe-eval' *.sjzhushou.com *.xunlei.com">
浏览器兼容性以及相关资料
http://caniuse.com/#feat=contentsecuritypolicyhttp://www.html5rocks.com/en/tutorials/security/content-security-policy/
相关文章推荐
- 谷歌 Project Zero 团队宣布新政策,漏洞披露前将有完整的 90 天缓冲期
- MySQL 安全事宜
- LKRG:用于运行时完整性检查的可加载内核模块
- 哪里可以找到 Kali Linux 的教程?
- 《网络黑白》一书所抄袭的文章列表
- Kali Linux 网络扫描秘籍 翻译完成!
- Android ***测试学习手册 翻译完成!
- 为虚拟桌面配置网络负载均衡
- 《网络黑白》一书所抄袭的文章列表
- Greg Kroah-Hartman 解释内核社区是如何使 Linux 安全的
- 春节长假安全手册
- 一段asp防注入的通用脚本
- 地震避险自救常识
- 路由器安全有关的目录
- 打造个性_安全的电脑系统图文教程2第1/2页