Web 安全以内容安全策略 (CSP)

内容安全策略 (CSP, Content Security Policy) 是一个附加的安全层,用于帮助检测和缓解某些类型的攻击,包括跨站脚本攻击 (XSS) 和数据注入等攻击。浏览器

这些攻击可用于实现从数据窃取到网站破坏或做为恶意软件分发版本等用途。内容安全策略在现代浏览器中已经包含,使用的是 W3C CSP 1.0 标准中描述的 Content-Security-Policy 头部和指令。安全

#####那么如何应用?服务器

CSP 能够由两种方式指定:HTTP Header 和 HTML。HTTP 是在 HTTP 由增长 Header 来指定,而 HTML 级别则由 Meta 标签指定。网络

CSP 有两类:Content-Security-Policy 和 Content-Security-Policy-Report-Only。(大小写无关)xss

HTTP header :
"Content-Security-Policy:" 策略
"Content-Security-Policy-Report-Only:" 策略

HTTP Content-Security-Policy 头能够指定一个或多个资源是安全的,而Content-Security-Policy-Report-Only则是容许服务器检查(非强制)一个策略。多个头的策略定义由优先采用最早定义的。网站

HTML Meta :
<meta http-equiv="content-security-policy" content="策略">
<meta http-equiv="content-security-policy-report-only" content="策略">

Meta 标签与 HTTP 头只是行式不一样而做用是一致的。与 HTTP 头同样,优先采用最早定义的策略。若是 HTTP 头与 Meta 定义同时存在,则优先采用 HTTP 中的定义。ui

若是用户浏览器已经为当前文档执行了一个 CSP 的策略,则会跳过 Meta 的定义。若是 META 标签缺乏 content 属性也一样会跳过。code

针对开发者草案中特别的提示一点:为了使用策略生效,应该将 Meta 元素头放在开始位置,以防止提升人为的 CSP 策略注入。网络安全

现在,多样化的攻击手段层出不穷,传统安全解决方案愈来愈难以应对网络安全攻击。OneASP 自适应安全平台集成了预测、预防、检测和响应的能力,为您提供精准、持续、可视化的安全防御。想阅读更多技术文章,请访问 OneAPM 官方技术博客 本文转自 OneAPM 官方博客资源

相关文章
相关标签/搜索