Web安全之Content Security Policy(CSP 内容安全策略)详解

2024-01-31 分类:网站建设 编辑: 阅读(2964)

什么是Content Security Policy(CSP)

Content Security Policy是一种网页安全策略,现代浏览器使用它来增强网页的安全性。可以通过Content Security Policy来限制哪些资源

(如JavaScript、CSS、图像等)可以被加载,从哪些url加载。

CSP本质上是白名单机制,开发者明确告诉浏览器哪些外部资源可以加载和执行,可以从哪些ur加载资源。

CSP最初被设计用来减少跨站点脚本攻击(XSS),该规范的后续版本还可以防止其他形式的攻击,如点击劫持。

启用CSP的两种方法

启用CSP的方法有两种,第一种是通过设置一个HTTP响应头(HTTP response header)“Content-Security-Policy",第二种是通过

HTML标签<meta>设置,例如:


<meta http-equiv="Content-Security-Policy" content="script-src 'self'; object-src 'none'">


除了Content-Security-Policy外,还有一个Content-Security-Policy-Report-Only字段,表示不执行限制选项,只是记录违反限制的行为,

必须与report-uri值选项配合使用,例如:


Content-Security-Policy-Report-Only: default-src 'self'; report-uri /some-report-uri;


CSP指令介绍

Content-Security-Policy值由一个或多个指令组成,多个指令用分号分隔。

csp资源加载项限制指令如下:

1 script-src:外部脚本

2 style-src:样式文件

3 img-src:图片文件

4 media-src:媒体文件(音频和视频)

5 font-src:字体文件

6 object-src:插件(比如 Flash)

7 child-src:框架

8 frame-ancestors:嵌入的外部资源(比如<frame>、 <iframe>、<embed>和<applet>)

9 connect-src: HTTP 连接(通过 XHR、 WebSockets、 EventSource等)

10 worker-src: worker脚本

11 manifest-src: manifest文件

12 default-src:用来设置上面各个选项的默认值。


上述指令对应的值如下:


CSPURL限制指令如下:

1 frame-ancestors:限制嵌入框架的网页
2 base-uri:限制<base#href>
3 form-action:限<form#action>

未经允许不得转载,或转载时需注明出处:新商务互联 » Web安全之Content Security Policy(CSP 内容安全策略)详解
分享到: 更多 ( 0 )
  • 诚信交易,用心服务

    诚信 用心 专业 倾心

  • 一对一沟通服务

    线上线下一对一

  • 项目人员具体化配置

    保证项目进度、质量、 维护、稳定

  • 7X24小时售后服务

    86-021-51873035

copyright © 2008 - 2018 new35.com. All Rights Reserved. 沪ICP备17000932号-4

上海茄番信息科技有限公司 版权所有 沪公网安备 31011502005249号  

友情链接:wdcp    网站中毒    上海网站建设    上海做网站    做网站    上海建设网站    上海网站制作    做一个网站    上海专业网站建设    新加坡网站维护    小程序开发    微信小程序开发    支付宝小程序开发