网页安全范围_csp安全认证
CSP是一种由开发者定义的安全性政策性申明,通过CSP所约束的的规责指定可信的内容来源(这里的内容可以指脚本、图片、iframe、fton、style等等可能的远程的资源)。通过CSP协定,让WEB处于一个安全的运行环境中。
CSP 大大增强了网页的安全性。攻击者即使发现了漏洞,也没法注入脚本,除非还控制了一台列入了白名单的可信主机。
两种方法可以启用 CSP。
一种是通过 HTTP 头信息的Content-Security-Policy的字段
Content-Security-Policy: script-src 'self'; object-src 'none'; style-src cdn.example.org third-party.org; child-src https:另一种是通过网页的<meta>标签 <meta http-equiv="Content-Security-Policy" content="script-src 'self'; object-src 'none'; style-src cdn.example.org third-party.org; child-src https:">
资源加载限制指令表
|
指令
|
指令值示例
|
说明
|
|---|---|---|
| default-src | 'self' cnd.a.com |
定义针对所有类型(js、image、css、web font,ajax请求,iframe,多媒体等)资源的默认加载策略,某类型资源如果没有单独定义策略,就使用默认的。 |
| script-src | 'self' js.a.com | 定义针对JavaScript的加载策略。 |
| style-src | 'self' css.a.com | 定义针对样式的加载策略。 |
| img-src | 'self' img.a.com | 定义针对图片的加载策略。 |
| connect-src | 'self' |
针对Ajax、WebSocket等请求的加载策略。不允许的情况下,浏览器会模拟一个状态为400的响应。 |
| font-src | font.a.com | 针对Web Font的加载策略。 |
| object-src | 'self' | 针对<object>、<embed>或<applet>等标签引入的flash等插件的加载策略。 |
| media-src | media.a.com | 针对<audio>或<video>等标签引入的html多媒体的加载策略。 |
| frame-src | 'self' | 针对frame的加载策略。 |
| sandbox | allow-forms |
对请求的资源启用sandbox(类似于iframe的sandbox属性)。 |
| report-uri | /report-uri |
告诉浏览器如果请求的资源不被策略允许时,往哪个地址提交日志信息。 特别的:如果只想让浏览器汇报日志,而不阻止任何内容。可以改用Content-Security-Policy-Report-Only响应头。 |
指令值组合说明
|
指令值
|
指令示例
|
说明
|
|---|---|---|
| * | img-src * | 允许任何内容。 |
| 'none' | img-src 'none' | 不允许任何内容。 |
| 'self' | img-src 'self' | 允许来自相同来源的内容(相同的协议、域名和端口)。 |
| data | img-src data | 允许data:协议(例如base64编码的图片)。 |
| www.a.com | img-src img.a.com | 允许加载指定域名的资源。 |
| *.a.com | img-src *.a.com | 允许加载a.com任何子域的资源。 |
| https://img.com | img-src https://img.com | 允许加载img.com的https资源(协议需匹配)。 |
| https: | img-src https: | 允许加载https资源。 |
| 'unsafe-inline' | script-src 'unsafe-inline' |
允许加载inline资源(例如常见的style属性,onclick,inline js和inline css等等)。 |
| 'unsafe-eval' | script-src 'unsafe-eval' | 允许加载动态js代码,例如eval()。 |
运营商劫持临时解决方案
<!--脚本加载白名单 【临时解决方案,后续还是要使用https来解决这个问题】--> <meta http-equiv="Content-Security-Policy" content="script-src 'unsafe-inline' 'unsafe-eval' *.sjzhushou.com *.xunlei.com">浏览器兼容性以及相关资料
- http://caniuse.com/#feat=contentsecuritypolicy
- http://www.html5rocks.com/en/tutorials/security/content-security-policy/
THE END
