CSP
时间:2022-07-26
本文章向大家介绍CSP,主要内容包括其使用实例、应用技巧、基本知识点总结和需要注意事项,具有一定的参考价值,需要的朋友可以参考一下。
网络安全防范
XSS的全称叫做跨域脚本攻击,是最常见且危害性最大的网页安全漏洞。
简单来说,就是攻击者想尽一切办法将可执行的代码插入到网页中。
比较常见的是在评论功能中,攻击者可以在评论区提交以下评论:
<script>alert(1)</script>
该评论被提交后,会存储在数据库中,当其他用户打开该页面时,该代码会被自动执行,用户就会被攻击到。
因此当我们在写代码的时候,必须时刻提防,对用户的输入永远保持不可信的态度。
为了防止XSS,我们在每次做项目的时候,做大量的编程措施。但这会做大量重复的工作,非常麻烦,显然不符合代码可重用可复用的理念。
有人就说了啊,能不能把这个工作交给浏览器去处理呢,让浏览器自动禁止外部恶意脚本?
然后**网页安全策略(CSP)**就出现了。
CSP
CSP的本质是添加白名单,开发者告诉客户端,哪些外部资源可以加载和执行,也就是添加白名单。客户端负责提供配置,实现和执行全部都交给浏览器。
开启CSP之后,网页的安全性得到了极大的保障。
开启CSP有两种方式。一种是通过HTTP头信息的Content-Security-Policy
字段,另一种是通过网页的meta
标签。
第一种可以在DevTools中的Network面板中查看:
github中的CSP设置
第二种如下:
<meta http-equiv="Content-Security-Policy" content="script-src 'self'; object-src 'none'; style-src cdn.example.org third-party.org; child-src https:">
开启之后,不符合CSP的外部资源就会被阻止加载。
CSP字段
CSP通过不同的字段限制不同类型的资源。
- script-src:外部脚本
- style-src:样式表
- img-src:图像
- media-src:音频和视频
- font-src:字体
- object-src:插件
- child-src:框架
- frame-ancestors:嵌入的外部资源
<frame>
- connect-src:HTTP连接
- worker-src:worker脚本
- manifest-src:manifest文件
默认配置使用default-src
,默认配置即为各个字段的默认值。
有时候,我们除了防范XSS攻击,还希望可以记录此类行为,可以使用report-uri
字段。
更多详细配置可以参考阮一峰 Content Security Policy 入门教程。
- END -
- Stream-快速入门Stream编程
- MySQL Regular Expression
- Jenkin-持续集成
- 4.3.4.7 Pattern Matching
- mysql left join、right join、inner join用法分析
- _CrtSetDbgFlag
- UNPv13:#第3章#套接字编程简介
- UNPv13:#第4章#基于TCP套接字编程
- UNPv13:#第5章#TCP客户/服务器程序示例
- MySQL replace用法简介
- YV12转RGB24的计算转换和bmp(dib)文件的显示保存
- 零基础入门深度学习 | 第四章:卷积神经网络
- MySQL binlog日志大小超过限定范围
- MySQL系列优化(一)
- JavaScript 教程
- JavaScript 编辑工具
- JavaScript 与HTML
- JavaScript 与Java
- JavaScript 数据结构
- JavaScript 基本数据类型
- JavaScript 特殊数据类型
- JavaScript 运算符
- JavaScript typeof 运算符
- JavaScript 表达式
- JavaScript 类型转换
- JavaScript 基本语法
- JavaScript 注释
- Javascript 基本处理流程
- Javascript 选择结构
- Javascript if 语句
- Javascript if 语句的嵌套
- Javascript switch 语句
- Javascript 循环结构
- Javascript 循环结构实例
- Javascript 跳转语句
- Javascript 控制语句总结
- Javascript 函数介绍
- Javascript 函数的定义
- Javascript 函数调用
- Javascript 几种特殊的函数
- JavaScript 内置函数简介
- Javascript eval() 函数
- Javascript isFinite() 函数
- Javascript isNaN() 函数
- parseInt() 与 parseFloat()
- escape() 与 unescape()
- Javascript 字符串介绍
- Javascript length属性
- javascript 字符串函数
- Javascript 日期对象简介
- Javascript 日期对象用途
- Date 对象属性和方法
- Javascript 数组是什么
- Javascript 创建数组
- Javascript 数组赋值与取值
- Javascript 数组属性和方法
- MYSQL Rewriter plugin 我那什么拯救你,垃圾系统
- 不使用华为om工具如何手工部署openGauss主从流复制环境
- 比较两个等长的字符串,若相同,则输出Match!,若不同,则输出No Match!
- 逻辑回归算法原理及实现
- Python链表详细笔记
- 26个你需要学习的Firefox配置技巧,改进体验和加快浏览器响应速度
- Softmax算法原理及实现
- Android Activity 活动的生命周期
- Android学习笔记,不断更新
- cJSON,c语言的JSON库!
- 自己动手实现4大免费聊天机器人:小冰、图灵、腾讯、青云客
- Android Spinner下拉框的基本使用
- hadoop本地运行的两个案例。官方Grep案例、官方WordCount案例。
- 腾讯智能闲聊机器人详细开发教程
- 用PyTorch实现MNIST手写数字识别(非常详细)