Web内容安全策略CSP(Content-Security-Policy)
Web内容安全策略CSP(Content-Security-Policy)
概念
内容安全策略(CSP)是一种web应用技术用于帮助缓解大部分类型的内容注入攻击,包括XSS攻击和数据注入等,这些攻击可实现数据窃取、网站破坏和作为恶意软件分发版本等行为。该策略可让网站管理员指定客户端允许加载的各类可信任资源。
源列表
源列表是一个字符串,指定了一个或多个互联网主机(通过主机名或 IP 地址),和可选的 URL 协议和/或端口号。站点地址可以包含可选的通配符前缀 (星号, ‘’),端口号也可以使用通配符 (同样是 '’) 来表明所有合法端口都是有效来源。主机通过空格分隔。
有效的主机表达式包括:
http://*.foo.com
匹配所有使用 http: 协议加载 foo.com 任何子域名的尝试。
mail.foo.com:443
匹配所有访问 mail.foo.com 的 443 端口 的尝试。
https://store.foo.com
匹配所有使用 https: 协议访问 store.foo.com 的尝试。
如果端口号没有被指定,浏览器会使用指定协议的默认端口号。如果协议没有被指定,浏览器会使用访问该文档时的协议。
响应头的值可配置一个或多个,多个指令以分号;隔开:
| 指令 | 示例 | 描述 |
|---|---|---|
| default-src | ‘self’ cdn.example.com | 默认配置,若其他指令没有配置,都以此配置的规则为准 |
| script-src | ‘self’ js.example.com | 定义允许加载的JavaScript来源 |
| style-src | ‘self’ css.example.com | 定义允许加载的样式表来源 |
| img-src | ‘self’ img.example.com | 定义允许加载的图片来源 |
| connect-src | ‘self’ | 适用于XMLHttpRequest(AJAX),WebSocket或EventSource, 当为不允许的来源,浏览器返回一个400的状态码。 |
| font-src | font.example.com | 定义允许加载的字体来源 |
| object-src | ‘self’ | 定义允许加载的插件来源 |
| media-src | media.example.com | 定义允许加载的audio和video元素 |
| frame-src | ‘self’ | 定义允许加载的框架来源 |
| sandbox | allow-forms allow-scripts | 授权一个沙箱用来请求具有iframe sanbox等类似属性的资源,该沙箱默认为同源策略, 禁止弹出口,执行插件和脚本.若要允许其他,可增加配置: allow-forms,allow-same-origin, allow-scripts,allow-top-navigation |
| report-uri | /some-report-uri | 该配置让浏览器发送一个失败报告到指定的路径, 也可以增加-Report-only到HTTP头,让浏览器只发送报告(不做阻止动作) |
常见配置
该策略允许加载同源的图片、脚本、AJAX和CSS资源,并阻止加载其他任何资源,对于大多数网站是一个不错的配置。
default-src ‘none’; script-src ‘self’; connect-src ‘self’; img-src ‘self’; style-src ‘self’;
浏览器支持
| Header | IE | Chrome | FireFox | Safari | Opera |
|---|---|---|---|---|---|
| Content-Security-Policy | 25+ | 24+ | 7+ | ||
| X-Content-Security-Policy | 10+ | 4.0+ | 15+ | ||
| X-Webkit-CSP | 14+ | 6+ |
禁止后提示信息
Refused to load the script ‘script-uri’ because it violates the following Content Security Policy directive: “your CSP directive”.
Content Security Policy: A violation occurred for a report-only CSP policy (“An attempt to execute inline scripts has been blocked”). The behavior was allowed, and a CSP report was sent.