Content Security Policy 入门教程

最新推荐文章于 2025-05-18 10:49:54 发布
最新推荐文章于 2025-05-18 10:49:54 发布
阅读量1.9k 收藏 1
点赞数
CC 4.0 BY-SA版权
分类专栏: 漏洞安全 文章标签: 安全漏洞 浏览器 XSS CSP 网页安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/AliMobileSecurity/article/details/52711841
跨域脚本攻击 XSS 是最常见、危害最大的网页安全漏洞。

为了防止它们,要采取很多编程措施,非常麻烦。很多人提出,能不能根本上解决问题,浏览器自动禁止外部注入恶意脚本?这就是”网页安全政策”(Content Security Policy,缩写 CSP)的来历。本文详细介绍如何使用 CSP 防止 XSS 攻击。
​​

一、简介

CSP 的实质就是白名单制度,开发者明确告诉客户端,哪些外部资源可以加载和执行,等同于提供白名单。它的实现和执行全部由浏览器完成,开发者只需提供配置。CSP 大大增强了网页的安全性。攻击者即使发现了漏洞,也没法注入脚本,除非还控制了一台列入了白名单的可信主机。

两种方法可以启用 CSP。一种是通过 HTTP 头信息的Content-Security-Policy的字段。

Content-Security-Policy: script-src 'self'; object-src 'none'; 
style-src cdn.example.org third-party.org; child-src https:

另一种是通过网页的<meta>标签。

<meta http-equiv="Content-Security-Policy" content="script-src 'self'; object-src 'none'; style-src cdn.example.org third-party.org; child-src https:">

上面代码中,CSP 做了如下配置。

脚本:只信任当前域名

标签:不信任任何URL,即不加载任何资源

样式表:只信任cdn.example.org和third-party.org

框架(frame):必须使用HTTPS协议加载

其他资源:没有限制

启用后,不符合 CSP 的外部资源就会被阻止加载。

Chrome 的报错信息。

Firefox 的报错信息。

最低0.47元/天 解锁文章
【网络安全Content Security Policy (CSP) 介绍
th3383193的博客
12-11 2657
内容安全策略 (CSP) 是一个额外的安全层,用于检测并削弱某些特定类型的攻击,包括跨站脚本 (XSS) 和数据注入攻击等。无论是数据盗取、网站内容污染还是散发恶意软件,这些攻击都是主要的手段。
Content Security Policy
qq_38344321的博客
09-03 5286
Content Security Policy(内容安全策略,简称csp)用于检测并阻止网页加载非法资源的安全策略,可以减轻xss攻击带来的危害和数据注入等攻击。本文讲述的内容主要有如何使用csp和业务接入csp流程这两部分。 简介 csp主要工作是定义一套页面资源加载白名单规则,浏览器使用csp规则去匹配所有资源,禁止加载不符合规则的资源,同时将非法资源请求进行上报。 csp作用:减轻网页xss攻击后所受到的危害。实际上csp是在xss攻击发生后才起作用,阻止请求注入的非法资源,csp并不是直接阻止xs
Chrome浏览器登录Google账号不弹验证问题解决一例
最新发布
dongyue1992的博客
05-18 347
Chrome浏览器要求重新登录账号才能同步,输入完账号后,显示让验证不是自动程序,但是下面是空白的,F12查原因,Issue部分显示Content Security Policy of your site blocks some resources等等一大段英文内容,AFFECTED RESOURCES里面显示recaptcha部分被阻止看起来是被浏览器的某些策略阻止了谷歌recaptcha验证模块的加载了,但是这又是啥原因阻止的,怎么解决了?
Content-Security-Policy
GalaxySpaceX的博客
09-12 1481
Content-Security-Policy
Content Security Policy (CSP) Bypass
kid的博客
05-14 864
Content Security Policy (CSP) Bypass 前言 Content Security Policy网页安全政策),缩写 CSP 首先我们要理解什么是CSP,下面的博文讲的还是很清楚 Content Security Policy 入门教程 Content Security Policy (CSP) is a computer security standard in...
Next.js配置教程:内容安全策略(Content Security Policy, CSP)详解
二进制的梦想
12-11 1239
Web应用的安全性在现代开发中至关重要,而内容安全策略(Content Security Policy, 简称CSP)是一项关键技术。CSP通过指定允许加载的资源来源,有效防止常见的攻击如跨站脚本攻击(XSS)和数据注入攻击。Next.js 提供了灵活的工具来配置 CSP,为你的应用构建强大的安全防护。本教程将详细讲解Next.js中CSP的配置方法、最佳实践和常见问题,帮助开发者全面理解和应用这一重要的安全机制。
Content-Security-Policy 入门必知
wy818的专栏
03-18 951
CSP 的实质就是白名单制度,开发者明确告诉客户端,哪些外部资源可以加载和执行,等同于提供白名单。它的实现和执行全部由浏览器完成,开发者只需提供配置。 CSP 大大增强了网页安全性。攻击者即使发现了漏洞,也没法注入脚本,除非还控制了一台列入了白名单的可信主机。 两种方法可以启用 CSP。一种是通过 HTTP 头信息的Content-Security-Policy的字段。 Header set Content-Security-Policy "script-src 'https:'; obj.
WEB应用内容安全策略(Content Security Policy)
javagty6778的博客
03-03 517
它通过让开发者对自己WEB应用声明一个外部资源加载的白名单,使得客户端在运行WEB应用时对外部资源的加载做出筛选和识别,只加载被允许的网站资源.对于不被允许的网站资源不予加载和执行.同时,还可以将WEB应用中出现的不被允许的资源链接和详情报告给我们指定的网址.如此,大大增强了WEB应用的安全.使得攻击者即使发现了漏洞,也没法注入脚本,除非还控制了一台列入了白名单的服务器.阅读永远是最有效的方法,尽管书籍并不一定是最好的入门方式,但书籍的理解需要一定的基础;但是就目前来看,书籍是比较靠谱的入门资料。
Content Security Policy (CSP)内容安全策略
飞翔的熊blabla
08-05 1234
CSP简介 Content Security Policy(CSP),内容(网页安全策略,为了缓解潜在的跨站脚本问题(XSS攻击),浏览器的扩展程序系统引入了内容安全策略(CSP)这个概念。 CSP 的实质就是白名单制度,开发者明确告诉客户端,哪些外部资源可以加载和执行,等同于提供白名单。它的实现和执行全部由浏览器完成,开发者只需提供配置。 两种方法启用 CSP 一种是通过 HTTP 响应头信息的Content-Security-Policy字段。 一种是通过网页的标签。 <meta h
Content-Security-Policy.md
06-05
如何设置meta 标签防止XSS攻击,以及CSP的一些说明, CSP 大大增强了网页安全性。攻击者即使发现了漏洞,也没法注入脚本,除非还控制了一台列入了白名单的可信主机。 两种方法可以启用 CSP。一种是通过 HTTP 头信息的`Content-Security-Policy`的字段。
什么是 Content Security Policy
weixin_42156055的博客
10-12 437
什么是Content Security Policycsp是一种白名单制度,他告诉浏览器信任哪些域名下的资源,哪些可以执行,哪些不可以执行 可以在一定程度上防御XSS 开启方式 配置HTTP头信息 Content Security Policy 使用html meta标签 <meta http-equiv="Content-Security-Policy" content="script-src 'self'; object-src 'none'; style-src.
Web安全Content Security Policy(CSP 内容安全策略)详解
路多辛的所思所想
04-12 7332
Content-Security-Policy值由一个或多个指令组成,多个指令用分号分隔。script-src:外部脚本style-src:样式文件img-src:图片文件media-src:媒体文件(音频和视频)font-src:字体文件object-src:插件(比如 Flash)child-src:框架frame-ancestors:嵌入的外部资源(比如、、和)
Content Security Policy是什么?
m0_57236802的博客
06-30 468
CSP 的工作原理是允许网站管理员发送一个 Content-Security-Policy HTTP 头部,这个头部包含一份策略,策略规定了浏览器如何处理网页的资源。比如,管理员可以设置一个策略,只允许浏览器加载同源(same origin)的脚本,这样,即使黑客注入了一个恶意脚本,浏览器也不会执行它。CSP 提供了很多其他的策略指令,可以用来限制图片、CSS、字体等其他资源的加载,也可以用来设置报告策略,告诉浏览器在哪里报告策略的违规行为。这些攻击主要用于实现数据窃取、网站破坏或恶意软件分发。
WEB安全Content Security Policy (CSP) 详解
_midnight的博客
05-28 2017
跨站脚本攻击 (XSS) 是一种常见的安全漏洞,攻击者通过注入恶意脚本来劫持用户会话、破坏网站内容或进行钓鱼攻击。存储型 XSS:恶意脚本被永久存储在目标服务器上(如数据库),并在用户访问时执行。反射型 XSS:恶意脚本通过 URL 参数或表单提交传递,并在服务器响应中反射给用户。DOM 型 XSS:恶意脚本通过修改客户端的 DOM 结构直接在浏览器中执行。
Content-Security-Policy —— HTML HTTP的内容安全策略
2401_84023314的博客
04-04 1651
可以防止[[跨站点脚本攻击]]语法指令说明。
Spring Security 配置 Content Security PolicyCSP
自强不息,厚德载物,未来可期
01-06 1218
参考网址 https://springdoc.cn/spring-security-csp 1.概览 跨站脚本攻击(Cross-Site Scripting,XSS)一直稳居最常见的十大网络攻击之列。XSS 攻击发生在 Web 服务器处理用户恶意输入时,未经验证或编码即在页面上渲染。与 XSS 攻击类似,代码注入和点击劫持通过窃取用户数据和冒充用户身份来对 Web 应用造成严重影响。 本文将...
Content-Security-Policy轻松配置nginx
03-01
### Nginx 中配置 Content Security Policy (CSP) 为了在 Nginx 中实现 CSP 的配置,在 `nginx.conf` 文件中的适当位置添加特定的 HTTP 响应头即可。具体来说,通过使用 `add_header` 指令来设置 `Content-Security-Policy` 头部字段。 以下是具体的配置方法: #### 修改 Nginx 配置文件 编辑 Nginx 主配置文件或站点对应的配置文件,通常位于 `/etc/nginx/nginx.conf` 或者 `/etc/nginx/sites-available/default` 下面加入如下所示的内容[^1]: ```nginx server { listen 80; server_name example.com; location / { add_header Content-Security-Policy "default-src 'self' localhost:8080 'unsafe-inline' 'unsafe-eval' blob: data:" always; # 其他配置... } } ``` 这段代码的作用是在每次响应请求时附加指定的安全策略到HTTP头部中。这里定义了一个基本的内容安全策略,默认允许来自自身的资源加载以及本地开发环境下的服务(`localhost:8080`),同时也启用了内联脚本和评估表达式的权限('unsafe-inline', 'unsafe-eval'),并支持blob URL 和 Data URI 方式的数据传输。 请注意,实际部署环境中应当谨慎启用 `'unsafe-inline'` 和 `'unsafe-eval'` 这样的宽松指令,因为它们可能会削弱 CSP 提供的安全保护效果。建议仅用于测试阶段或是确实有需求的情况下才考虑开启这些选项。 完成上述修改之后保存更改,并重启 Nginx 使新配置生效: ```bash sudo systemctl restart nginx ``` 这样就完成了基于 Nginx 实施 Content Security Policy 的基础配置工作。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值