Web安全之Content Security Policy(CSP 内容安全策略)详解
zhezhongyun 2025-05-08 22:24 38 浏览
什么是Content Security Policy(CSP)
Content Security Policy是一种网页安全策略,现代浏览器使用它来增强网页的安全性。可以通过Content Security Policy来限制哪些资源(如JavaScript、CSS、图像等)可以被加载,从哪些url加载。
CSP 本质上是白名单机制,开发者明确告诉浏览器哪些外部资源可以加载和执行,可以从哪些url加载资源。
CSP最初被设计用来减少跨站点脚本攻击(XSS),该规范的后续版本还可以防止其他形式的攻击,如点击劫持。
启用CSP的两种方法
启用CSP的方法有两种,第一种是通过设置一个HTTP响应头(HTTP response header) “Content-Security-Policy”,第二种是通过HTML标签<meta>设置,例如:
<meta http-equiv="Content-Security-Policy" content="script-src 'self'; object-src 'none'">除了Content-Security-Policy外,还有一个Content-Security-Policy-Report-Only字段,表示不执行限制选项,只是记录违反限制的行为,必须与report-uri值选项配合使用,例如:
Content-Security-Policy-Report-Only: default-src 'self'; report-uri /some-report-uri;CSP指令介绍
Content-Security-Policy值由一个或多个指令组成,多个指令用分号分隔。
csp资源加载项限制指令如下:
script-src:外部脚本
style-src:样式文件
img-src:图片文件
media-src:媒体文件(音频和视频)
font-src:字体文件
object-src:插件(比如 Flash)
child-src:框架
frame-ancestors:嵌入的外部资源(比如<frame>、<iframe>、<embed>和<applet>)
connect-src:HTTP 连接(通过 XHR、WebSockets、EventSource等)
worker-src:worker脚本
manifest-src:manifest 文件
default-src:用来设置上面各个选项的默认值。上述指令对应的值如下:
Source Value | Example | Description |
* | img-src * | Wildcard, allows any URL except data: blob: filesystem: schemes. |
'none' | object-src 'none' | Prevents loading resources from any source. |
'self' | script-src 'self' | Allows loading resources from the same origin (same scheme, host and port). |
data: | img-src 'self' data: | Allows loading resources via the data scheme (eg Base64 encoded images). |
domain.example.com | img-src domain.example.com | Allows loading resources from the specified domain name. |
*.example.com | img-src *.example.com | Allows loading resources from any subdomain under example.com. |
https://cdn.com | img-src https://cdn.com | Allows loading resources only over HTTPS matching the given domain. |
https: | img-src https: | Allows loading resources only over HTTPS on any domain. |
'unsafe-inline' | script-src 'unsafe-inline' | Allows use of inline source elements such as style attribute, onclick, or script tag bodies (depends on the context of the source it is applied to) and javascript: URIs |
'unsafe-eval' | script-src 'unsafe-eval' | Allows unsafe dynamic code evaluation such as JavaScript eval() |
'sha256-' | script-src 'sha256-xyz...' | Allows an inline script or CSS to execute if its hash matches the specified hash in the header. Currently supports SHA256, SHA384 or SHA512. CSP Level 2 |
'nonce-' | script-src 'nonce-rAnd0m' | Allows an inline script or CSS to execute if the script (eg: <script nonce="rAnd0m">) tag contains a nonce attribute matching the nonce specifed in the CSP header. The nonce should be a secure random string, and should not be reused. CSP Level 2 |
'strict-dynamic' | script-src 'strict-dynamic' | Enables an allowed script to load additional scripts via non-"parser-inserted" script elements (for example document.createElement('script'); is allowed). CSP Level 3 |
'unsafe-hashes' | script-src 'unsafe-hashes' 'sha256-abc...' | Allows you to enable scripts in event handlers (eg onclick). Does not apply to javascript: or inline <script> CSP Level 3 |
CSP URL限制指令如下:
frame-ancestors:限制嵌入框架的网页
base-uri:限制<base#href>
form-action:限制<form#action>CSP其它限制指令如下:
block-all-mixed-content:HTTPS 网页不得加载HTTP链接的资源
upgrade-insecure-requests:自动将网页加载的外部资源的链接由HTTP改为HTTPS
plugin-types:限制可以使用的插件格式
sandbox:浏览器行为的限制,比如不能有弹出窗口等。小结
CSP对于保护Web应用程序的安全非常重要,可以帮助减少很多XSS类攻击。需要注意的是,CSP只是一种安全策略,不能完全保证网站的安全性。因此,在使用CSP时,还需要结合其他安全措施,如使用HTTPS、防火墙等,进一步提高网站的安全性。
相关推荐
- 信奥赛知识点_信奥赛 教材
-
信息学奥赛(NOIP/CSP等)中,C语言是核心编程语言,考察重点是算法逻辑、数据结构应用和代码效率。以下整理了信奥赛中典型的C语言知识点及对应试题(从基础到进阶),涵盖入门到提高组常见内容。...
- 如何在 Docker 中设置环境变量 ?_docker run设置环境变量
-
Docker是一个开源平台,它简化了在容器中创建、部署和管理应用程序。一个容器是一种可移植的、轻量级的、自包含的运行时环境,包含运行应用程序所需的一切。容器化的关键组成部分之一是管理环境变量。环境变...
- C++中的头文件以及源文件_c++头文件格式有哪些
-
在C++中,头文件和源文件是组织代码的两种不同文件,作用和编写方式不同,是组织代码的基本方式,两者共同构成了项目的模块化结构头文件的作用头文件扩展名为`.h`或`.hpp`,通常包含:函数声明(原型)...
- 杰x分享(102):51单片机基础(二十四)
-
分享兴趣,传播快乐,增长见闻,留下美好。亲爱的您,这里是LearingYard学苑!今天小编为您带来“51单片机基础”欢迎您的访问!Shareinterest,spreadhappiness,i...
- 西门子S71200/1500PLC用GET_DIAG指令获取第三方IO模块通信状态?
-
我们在项目中,如果是西门子PLC的分布式IO模块,可以通过调用DeviceStates指令或者ModuleStates指令来获取模块的详细信息。下图是采用DeviceStates指令来获取两个IO...
- Python变量类型和运算符_python中变量类型
-
变量类型变量与命名规则在Python中,变量是存储数据的容器,不需要事先声明类型,直接赋值即可创建。变量名只能包含字母、数字和下划线,且不能以数字开头。Python的变量名是大小写敏感的(例如a...
- 02010602 方法02-值参数、引用参数、输出参数、参数数组
-
02010602方法02-值参数、引用参数、输出参数、参数数组、ref局部变量和ref返回方法的参数是一个特殊变量1.形参形参→是局部变量,它声明在方法的参数列表中,而不是方法体中。publi...
- C/C++语言的const关键字说明_c++ const详解
-
在C/C++编程领域,const关键字是一个基础且关键的存在。它如同“安全卫士”,能帮助开发者限制数据的修改,减少程序中的bug,提升代码的可读性和可维护性。无论是刚接触C/C++的初学者,还是有一定...
- JavaScript ES6 let、cont、解构_js es6方法
-
let和const遇到{}就形成作用域同一作用域不能重复声明变量或函数[如:let声明过不能用const和var声明相同名字]没有变量提升const必须初始化赋值,不能被修改,而...
- Kubernetes v1.34: 使用 Init 容器定义应用环境变量
-
Kubernetes通常使用ConfigMap和Secret来设置环境变量,这会引入额外的API调用和复杂性。例如,你需要分别管理工作负载的Pod和它们的配置,同时还要确保配置和...
- 全面详解 Python 类变量与实例变量的访问步骤
-
1.核心概念:什么是类变量和实例变量?在开始讨论访问步骤之前,我们首先要明确这两个概念的定义和区别。类变量(ClassVariable)定义位置:在类的内部,但在任何方法(包括__init__...
- golang编程细讲-变量/常量/表达式
-
我们之前说到了函数通常封装了单个事情的处理过程。这个处理的过程通常需要有输入信息,然后处理后,产生/返回处理结果信息。这些输入/输出的信息,或者说数据,我们使用变量来表示。因此变量这个概念本身就是一种...
- Python 访问类变量与实例变量:步骤梳理与原理讲解
-
核心概念速览在深入细节之前,我们先快速区分一下两者:类变量(ClassVariable):定义位置:在类的内部,但在任何方法的外部。所属对象:属于类本身。共享性:被所有该类的实例(对象)共享...
- golang嵌入脚本语言-tengo语言的语法-变量/语句/表达式
-
让我们步入tengo的基本语法部分。首先tengo支持单行注释和多行注释://这是一个单行注释/**这是一个多行注释*/其次,tengo是一个动态脚本语言,因此变量本身无类型,有类型的是变量...
- 【第17集】C++ 逻辑变量:编程世界的"真假侦探"
-
同学们好!今天我们要学习C++中超级重要的逻辑变量!它们就像是编程世界的"真假侦探",专门负责判断条件是真还是假!一、什么是逻辑变量?通俗理解:逻辑变量=编程版的"是非题...
- 一周热门
- 最近发表
-
- 信奥赛知识点_信奥赛 教材
- 如何在 Docker 中设置环境变量 ?_docker run设置环境变量
- C++中的头文件以及源文件_c++头文件格式有哪些
- 杰x分享(102):51单片机基础(二十四)
- 西门子S71200/1500PLC用GET_DIAG指令获取第三方IO模块通信状态?
- Python变量类型和运算符_python中变量类型
- 02010602 方法02-值参数、引用参数、输出参数、参数数组
- C/C++语言的const关键字说明_c++ const详解
- JavaScript ES6 let、cont、解构_js es6方法
- Kubernetes v1.34: 使用 Init 容器定义应用环境变量
- 标签列表
-
- HTML 教程 (33)
- HTML 简介 (35)
- HTML 实例/测验 (32)
- HTML 测验 (32)
- JavaScript 和 HTML DOM 参考手册 (32)
- HTML 拓展阅读 (30)
- HTML文本框样式 (31)
- HTML滚动条样式 (34)
- HTML5 浏览器支持 (33)
- HTML5 新元素 (33)
- HTML5 WebSocket (30)
- HTML5 代码规范 (32)
- HTML5 标签 (717)
- HTML5 标签 (已废弃) (75)
- HTML5电子书 (32)
- HTML5开发工具 (34)
- HTML5小游戏源码 (34)
- HTML5模板下载 (30)
- HTTP 状态消息 (33)
- HTTP 方法:GET 对比 POST (33)
- 键盘快捷键 (35)
- 标签 (226)
- opacity 属性 (32)
- transition 属性 (33)
- 1-1. 变量声明 (31)