CSP-Validator 是 Sublime Text2 的插件,能够检测 JavaScript, HTML 和 CSS 中的内容是否满足内容安全政策。目前它支持检测以下项目:
-
Inline scripts
-
Images and scripts with src attributes with http(s) protocols
-
Use of eval or new Function
-
setTimeout with a string param (this is only explicit usage of a string, not if it's passed as a variable)
-
Attempting to load resources in CSS with http(s) protocols
-
内容安全策略(CSP)是一个附加的安全层,有助于检测和缓解某些类型的攻击,包括跨站点脚本(XSS)和数据注入攻击。这些攻击用于从数据窃取到网站污损或恶意软件分发的所有事情。 CSP被设计为完全向后兼容(除CSP版本2,其中有在向后兼容性一些明确提到的不一致性;更多的细节在这里第1.1节)。不支持它的浏览器仍然支持实现它的服务器,反之亦然:不支持CSP的浏览器完全忽略它,像往常一样运行,默认为Web
-
HTTP Content-Security-Policy(CSP)sandbox伪指令为请求的资源启用类似于<iframe> sandbox属性的沙箱。它对页面的操作应用限制,包括阻止弹出窗口,阻止插件和脚本的执行以及强制执行同源策略。 CSP版本 1.1 / 2 指令类型 Document指令 | 此指令在<meta>元素或Content-Security-policy-Report-Only标
-
过时的 此函数已过时。虽然它可能在某些浏览器中仍然有效,但它的使用是不鼓励的,因为它可以在任何时候被删除。尽量避免使用它。 HTTP Content-Security-Policy(CSP)referrer指令用于在Referer标题中指定信息(只有一个,r因为这是在信号规范中的拼写错误),用于远离页面的链接。此API已弃用,并从浏览器中删除。 Referrer-Policy改为使用标题。 句法
-
Express Csp 这是一个 Express 扩展,它可以让你在 Express 应用上设置 content - security - policy。 示例代码: var csp = require('express-csp');var app = express();csp.extend(app, { policy: { directives: {
-
HTTP Content-Security-Policy(CSP)指令指定的有效来源,或脚本。worker-srcWorkerSharedWorkerServiceWorker CSP版本 3 指令类型 取指令 倒退 如果此指令不存在,用户代理将查找child-src指令(该指令回退到default-src指令)。 句法 worker-src政策可以允许一个或多个来源: Content-Secur