web应用Content-Security-Policy(csp)配置
1.csp是什么?
CSP(Content Security Policy)指的是内容安全策略 ,是一个附加的安全层,用于帮助检测和缓解某些类型的攻击,包括跨站脚本攻击 (XSS) 和数据注入等攻击
这些攻击可用于实现从数据窃取到网站破坏或作为恶意软件分发版本等用途,为了缓解很大一部分潜在的跨站脚本问题,浏览器的扩展程序系统引入了内容安全策略(CSP)的一般概念
这将引入一些相当严格的策略,会使扩展程序在默认情况下更加安全,开发者可以创建并强制应用一些规则,管理网站允许加载的内容
简单来说,就是我们能够规定,我们的网站只接受我们指定的请求资源
2.使用csp的意义
防XSS等攻击的利器
CSP 的实质就是白名单制度,开发者明确告诉客户端,哪些外部资源可以加载和执行,等同于提供白名单。它的实现和执行全部由浏览器完成,开发者只需提供配置。CSP 大大增强了网页的安全性。攻击者即使发现了漏洞,也没法注入脚本,除非还控制了一台列入了白名单的可信主机
3.csp的应用
<meta http-equiv="Content-Security-Policy" content="
default-src 'self';
connect-src *;
frame-src 'self' 'unsafe-inline' https://www.baidu.com;
script-src 'self' 'unsafe-inline' 'unsafe-eval' https://www.baidu.com;
style-src 'self' 'unsafe-inline';
media-src 'self';
object-src 'self';
font-src 'self' 'unsafe-inline' 'unsafe-eval' https://www.baidu.com;
img-src 'self' 'unsafe-inline' 'unsafe-eval' https://www.baidu.com;">
| 指令名 | demo | 说明 |
| default-src | 'self' cdn.example.com | 默认策略,可以应用于js文件/图片/css/ajax请求等所有访问 |
| script-src | 'self' js.example.com | 定义js文件的过滤策略 |
| style-src | 'self' css.example.com | 定义css文件的过滤策略 |
| img-src | 'self' img.example.com | 定义图片文件的过滤策略 |
| connect-src | 'self' | 定义请求连接文件的过滤策略 |
| font-src | font.example.com | 定义字体文件的过滤策略 |
| object-src | 'self' | 定义页面插件的过滤策略,如 <object>, <embed> 或者<applet>等元素 |
| media-src | media.example.com | 定义媒体的过滤策略,如 HTML6的 <audio>, <video>等元素 |
| frame-src | 'self' | 定义加载子frmae的策略 |
| sandbox | allow-forms allow-scripts | 沙盒模式,会阻止页面弹窗/js执行等,你可以通过添加allow-forms allow-same-origin allow-scripts allow-popups, allow-modals, allow-orientation-lock, allow-pointer-lock, allow-presentation, allow-popups-to-escape-sandbox, and allow-top-navigation 策略来放开相应的操作 |
| report-uri | /some-report-uri |
|
所有以-src结尾的指令都可以用一下的值来定义过滤规则,多个规则之间可以用空格来隔开
| 值 | demo | 说明 |
| * | img-src * | 允许任意地址的url,但是不包括 blob: filesystem: schemes. |
| 'none' | object-src 'none' | 所有地址的咨询都不允许加载 |
| 'self' | script-src 'self' | 同源策略,即允许同域名同端口下,同协议下的请求 |
| data: | img-src 'self' data: base64 | 允许通过data来请求咨询 (比如用Base64 编码过的图片). |
| domain.example.com | img-src domain.example.com | 允许特性的域名请求资源 |
| *.example.com | img-src *.example.com | 允许从 example.com下的任意子域名加载资源 |
| https://cdn.com | img-src https://cdn.com | 仅仅允许通过https协议来从指定域名下加载资源 |
| https: | img-src https: | 只允许通过https协议加载资源 |
| 'unsafe-inline' | script-src 'unsafe-inline' | 允许行内代码执行 |
| 'unsafe-eval' | script-src 'unsafe-eval' | 允许不安全的动态代码执行,比如 JavaScript的 eval()方法 |