网页安全范围_csp安全认证

博客小编 (28) 2024-09-03 09:01:03

CSP是一种由开发者定义的安全性政策性申明，通过CSP所约束的的规责指定可信的内容来源（这里的内容可以指脚本、图片、iframe、fton、style等等可能的远程的资源）。通过CSP协定，让WEB处于一个安全的运行环境中。

CSP 大大增强了网页的安全性。攻击者即使发现了漏洞，也没法注入脚本，除非还控制了一台列入了白名单的可信主机。

两种方法可以启用 CSP。

一种是通过 HTTP 头信息的Content-Security-Policy的字段

Content-Security-Policy: script-src 'self'; object-src 'none'; style-src cdn.example.org third-party.org; child-src https:

另一种是通过网页的<meta>标签 <meta http-equiv="Content-Security-Policy" content="script-src 'self'; object-src 'none'; style-src cdn.example.org third-party.org; child-src https:">

资源加载限制指令表

指令	指令值示例	说明
default-src	'self' cnd.a.com	定义针对所有类型（js、image、css、web font，ajax请求，iframe，多媒体等）资源的默认加载策略，某类型资源如果没有单独定义策略，就使用默认的。
script-src	'self' js.a.com	定义针对JavaScript的加载策略。
style-src	'self' css.a.com	定义针对样式的加载策略。
img-src	'self' img.a.com	定义针对图片的加载策略。
connect-src	'self'	针对Ajax、WebSocket等请求的加载策略。不允许的情况下，浏览器会模拟一个状态为400的响应。
font-src	font.a.com	针对Web Font的加载策略。
object-src	'self'	针对<object>、<embed>或<applet>等标签引入的flash等插件的加载策略。
media-src	media.a.com	针对<audio>或<video>等标签引入的html多媒体的加载策略。
frame-src	'self'	针对frame的加载策略。
sandbox	allow-forms	对请求的资源启用sandbox（类似于iframe的sandbox属性）。
report-uri	/report-uri	告诉浏览器如果请求的资源不被策略允许时，往哪个地址提交日志信息。特别的：如果只想让浏览器汇报日志，而不阻止任何内容。可以改用Content-Security-Policy-Report-Only响应头。

指令值组合说明

指令值	指令示例	说明
*	img-src *	允许任何内容。
'none'	img-src 'none'	不允许任何内容。
'self'	img-src 'self'	允许来自相同来源的内容（相同的协议、域名和端口）。
data	img-src data	允许data:协议（例如base64编码的图片）。
www.a.com	img-src img.a.com	允许加载指定域名的资源。
*.a.com	img-src *.a.com	允许加载a.com任何子域的资源。
https://img.com	img-src https://img.com	允许加载img.com的https资源（协议需匹配）。
https:	img-src https:	允许加载https资源。
'unsafe-inline'	script-src 'unsafe-inline'	允许加载inline资源（例如常见的style属性，onclick，inline js和inline css等等）。
'unsafe-eval'	script-src 'unsafe-eval'	允许加载动态js代码，例如eval()。

运营商劫持临时解决方案

<!--脚本加载白名单 【临时解决方案，后续还是要使用https来解决这个问题】--> <meta http-equiv="Content-Security-Policy" content="script-src 'unsafe-inline' 'unsafe-eval' *.sjzhushou.com *.xunlei.com">