CSP的作用
限制可以加载和执行的域中的资源,并防止页面上的内联脚本和事件处理控制静态资源的加载。
启用CSP机制
一、创建 CSP 策略
CSP 策略是配置许多内容源的字符串,可以特定于协议、主机、关键字等。例如
Content-Security-Policy: 默认src \’self\’ img-src https://\\*;
用于测试CSP 策略的在线工具
Google CSP EvaluatorMozilla 天文台
二、添加 CSP 策略
开发者可以通过以下方法告诉浏览器哪些资源是安全的,哪些请求应该被拒绝。
在服务器端,添加元标记**meta http-equiv=\’Content-Security-Policy\’ content=\’default-src \’self\’\’ img-src \’none\’;\’**。
CSP 指令列表
CSP 定义了一组指令,每个指令控制一个特定的策略。
default-src:这是CSP 的默认指令。如果未设置其他CSP 指令,则默认指令将用于所有内容类型。例如,使用以下HTML 代码:
内容安全策略: 默认src \’self\’
这告诉浏览器仅从当前域名加载所有类型的内容(脚本、图像、样式等)。
2. script-src:定义哪些源脚本可以安全运行。例如:
内容安全策略: script-src\’self\’https://cdnjs.cloudflare.com
这意味着该脚本只能从当前源和https://cdnjs.cloudflare.com 加载和运行。
3. style-src:定义可以安全加载和应用哪些源样式。例如:
内容安全策略: style-src\’self\’https://fonts.googleapis.com
这意味着只能从当前源和https://fonts.googleapis.com 加载和应用样式。
4. img-src:定义哪些图像源可以安全加载。例如:
内容安全策略: img-src\’self\’data: https://cdn.example.net
这意味着浏览器将只允许从当前源、data: URL 和https://cdn.example.net 加载图像。
5. connect-src:定义通过脚本连接的源(Fetch API、XMLHttpRequest、WebSockets 等)。例如,
Content-Security-Policy: connect-src \’self\’ https://api.example.com
6. font-src:指定可以安全加载哪些源字体。例如:
内容安全策略: 字体src \’self\’ https://fonts.gstatic.com
7. object-src:指定、 和元素可以加载的资源源。例如:
内容安全策略: 对象src \’无\’
这告诉浏览器不要从源加载插件类型的内容。
给大家的福利
从基础零开始
对于刚接触网络安全的学生,我们创建了详细的学习和成长路线图。这可以说是最科学、最系统的学习路线。每个人都可以遵循这个大方向。
同时,还根据成长路线提供了每个部分的支持视频。
由于篇幅有限,仅包含部分信息。
网络安全面试问题
绿色联盟网络保护行动
以及每个人最喜欢的黑客技术
网络安全源码合集+工具包
所有信息总计282G。如果想要《网络安全入门+黑客进阶学习资源包》全套,可以扫描下面二维码获取(扫码有问题可以在评论区留言获取)。那个)~
#XSS防御内容安全策略以上CSP工作原理、配置技巧、最佳实践_安全策略img相关内容源网络仅供参考。相关信息请参见官方公告。
原创文章,作者:CSDN,如若转载,请注明出处:https://www.sudun.com/ask/92159.html