Что такое политика безопасности контента (CSP)

Полное имя CSP Содержание Security Policy ,можно напрямую перевести какБезопасность контентаСтратегия,Грубо говоря,Специально для страницы Безопасность контента и разработать ряд стратегий защиты. Укажите доверенные источники контента в соответствии с правилами, ограниченными CSP (здесь контент может относиться к возможным удаленным ресурсам, таким как сценарии, изображения, iframe, fton, стили и т. д.). Благодаря протоколу CSP WEB помещается в безопасную рабочую среду.

CSP — это структура безопасности браузера, предложенная Стерном из Mozilla в 2008 году.

Разработан как комплексная платформа для защиты от атак XSS и CSRF.

Его также обычно можно использовать для управления разрешениями приложений и расширений.

CSP позволяет разработчикам переопределять (SOP) разрешения каждого документа.

Каково использование CSP?

Мы знаем, что во внешнем интерфейсе действует известная «политика одного и того же происхождения». Короче говоря, это означает, что ресурсы страницы можно получить только с сервера того же происхождения, что и она, а междоменное получение невозможно. разрешено. Это может предотвратить проникновение на страницу со злым умыслом. Код влияет на безопасность. Но эта стратегия — палка о двух концах. Блокируя вредоносный код, она также ограничивает гибкость внешнего интерфейса. позволяет нам получать ресурсы из разных доменов, предотвращая при этом вредоносный код?

Ответ, конечно, это csp. С помощью csp мы можем сформулировать ряд политик, позволяющих нашим страницам инициировать междоменные запросы только к тем доменным именам, которые мы разрешаем, и злоумышленные атаки, не соответствующие нашим политикам, будут пресекаться. заблокировано, тем самым добившись

Необходимо объяснить одну вещь: все современные основные браузеры поддерживают csp, поэтому мы можем использовать его с уверенностью и смелостью.

конфигурация приложения csp

Сервер определяет правила в заголовке

Сервер определяет правила в HTML

Через веб-теги

<meta http-equiv="Content-Security-Policy" content="script-src 'self'; object-src 'none'; style-src cdn.example.org third-party.org; child-src https:">

CSP позволяет разработчикам улучшить свои возможности защиты от XSS-атак, но есть и некоторые проблемы.

Сложно развернуть (если вы хотите изменить левый и правый встроенные скрипты)

Определение происхождения недостаточно подробное.

Бинарная безопасность

DEMO

Информация, введенная пользователем, сохраняется в базе данных, которая представляет собой простое всплывающее окно JS (то же самое относится и к внешней ссылке JS).

alert('I was stored by an attacker.');

Нет защиты CSP

С защитой CSP

описание команды csp

Инструкции — это базовая единица, используемая для определения политик в csp. Мы можем использовать одну или несколько инструкций для объединения функций для защиты нашего веб-сайта.

Ниже приведены часто используемые инструкции:

Подробнее см.: https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Content-Security-Policy.

значение заголовка

block-all-mixed-content：禁止混合内容

具体参看《Страница со смешанным контентом: браузер запросов HTTP из Безопасность обработки под глобальным https》

значение команды

Все инструкции, заканчивающиеся на -src, могут использовать следующие значения для определения правил фильтрации. Несколько правил могут быть разделены пробелами.

Пример

default-src 'self';   

Разрешены только ресурсы одного и того же происхождения.

script-src 'self';     

Разрешены только js одного и того же происхождения.

script-src 'self' www.google-analytics.com ajax.googleapis.com;

Разрешить загрузку js из одного источника и двух адресов

default-src 'none'; script-src 'self'; connect-src 'self'; img-src 'self'; style-src 'self';

Если ресурсов несколько, более поздние перезапишут предыдущие.

Конфигурация на стороне сервера

• Служба Apache

Добавьте следующий код в файл httpd.conf или файл .htaccess VirtualHost.

Header set Content-Security-Policy "default-src 'self';"

• Nginx

Добавьте следующий код в блок объекта server {}

add_header Content-Security-Policy "default-src 'self';";

• IIS 

web.config:Добавить

<system.webServer>
  <httpProtocol>
    <customHeaders>
      <add name="Content-Security-Policy" value="default-src 'self';" />
    </customHeaders>
  </httpProtocol>
</system.webServer>

отчет отправлен

report-uri

The HTTP Content-Security-Policy-Report-Only response header allows web developers to experiment with policies by monitoring (but not enforcing) their effects. These violation reports consist of JSON documents sent via an HTTP POST request to the specified URI.

Content-Security-Policy-Report-Only: <policy-directive>; <policy-directive>

Content-Security-Policy-Report-Only: default-src https:; report-uri /csp-violation-report-endpoint/

Рекомендуемое чтение:

http://www.cnblogs.com/heyuqing/p/6215761.html

Политика безопасности контента (именуемая CSP) использование политики содержимого браузера.

Политика безопасности контента CSP

ПерепечаткаЭтот сайтстатья《Конфигурация внешней безопасности. Конфигурация предотвращения xss. Подробное объяснение конфигурации Content-Security-Policy (csp).》, Пожалуйста, укажите источник：https://www.zhoulujun.cn/html/webfront/SGML/web/2017_0503_8004.html