XSS防御 内容安全策略 CSP工作原理、配置技巧与最佳实践_安全策略 img(xss防御措施)

XSS防御 内容安全策略 CSP工作原理、配置技巧与最佳实践_安全策略 imgCSP的作用
限制了那些域的资源可以加载并且执行;阻止内联脚本和页面上的事件处理;控制静态资源的加载;记录策略违规报告

CSP的作用

限制可以加载和执行的域中的资源,并防止页面上的内联脚本和事件处理控制静态资源的加载。

启用CSP机制

一、创建 CSP 策略

CSP 策略是配置许多内容源的字符串,可以特定于协议、主机、关键字等。例如

Content-Security-Policy: 默认src \’self\’ img-src https://\\*;

用于测试CSP 策略的在线工具

Google CSP EvaluatorMozilla 天文台

二、添加 CSP 策略

开发者可以通过以下方法告诉浏览器哪些资源是安全的,哪些请求应该被拒绝。

在服务器端,添加元标记**meta http-equiv=\’Content-Security-Policy\’ content=\’default-src \’self\’\’ img-src \’none\’;\’**。

CSP 指令列表

CSP 定义了一组指令,每个指令控制一个特定的策略。

default-src:这是CSP 的默认指令。如果未设置其他CSP 指令,则默认指令将用于所有内容类型。例如,使用以下HTML 代码:

内容安全策略: 默认src \’self\’

这告诉浏览器仅从当前域名加载所有类型的内容(脚本、图像、样式等)。

2. script-src:定义哪些源脚本可以安全运行。例如:

内容安全策略: script-src\’self\’https://cdnjs.cloudflare.com

这意味着该脚本只能从当前源和https://cdnjs.cloudflare.com 加载和运行。

3. style-src:定义可以安全加载和应用哪些源样式。例如:

内容安全策略: style-src\’self\’https://fonts.googleapis.com

这意味着只能从当前源和https://fonts.googleapis.com 加载和应用样式。

4. img-src:定义哪些图像源可以安全加载。例如:

内容安全策略: img-src\’self\’data: https://cdn.example.net

这意味着浏览器将只允许从当前源、data: URL 和https://cdn.example.net 加载图像。

5. connect-src:定义通过脚本连接的源(Fetch API、XMLHttpRequest、WebSockets 等)。例如,

Content-Security-Policy: connect-src \’self\’ https://api.example.com

6. font-src:指定可以安全加载哪些源字体。例如:

内容安全策略: 字体src \’self\’ https://fonts.gstatic.com

7. object-src:指定、 和元素可以加载的资源源。例如:

内容安全策略: 对象src \’无\’

这告诉浏览器不要从源加载插件类型的内容。

给大家的福利

从基础零开始

对于刚接触网络安全的学生,我们创建了详细的学习和成长路线图。这可以说是最科学、最系统的学习路线。每个人都可以遵循这个大方向。

同时,还根据成长路线提供了每个部分的支持视频。

由于篇幅有限,仅包含部分信息。

网络安全面试问题

绿色联盟网络保护行动

以及每个人最喜欢的黑客技术

网络安全源码合集+工具包

所有信息总计282G。如果想要《网络安全入门+黑客进阶学习资源包》全套,可以扫描下面二维码获取(扫码有问题可以在评论区留言获取)。那个)~

#XSS防御内容安全策略以上CSP工作原理、配置技巧、最佳实践_安全策略img相关内容源网络仅供参考。相关信息请参见官方公告。

原创文章,作者:CSDN,如若转载,请注明出处:https://www.sudun.com/ask/92159.html

(0)
CSDN's avatarCSDN
上一篇 2024年6月25日 上午5:01
下一篇 2024年6月25日 上午6:08

相关推荐

发表回复

您的邮箱地址不会被公开。 必填项已用 * 标注