Content Security Policy介绍
来源:互联网 发布:mac无主之地2没有繁体 编辑:程序博客网 时间:2024/06/06 12:57
Chrome扩展已经引入了CSP,通过manifest.json中的content_security_policy字段来定义。一些现代浏览器也支持通过响应头来定义CSP。下面我们主要介绍如何通过响应头来使用CSP,Chrome扩展中CSP的使用可以参考Chrome官方文档。
浏览器兼容性
早期的Chrome是通过X-WebKit-CSP响应头来支持CSP的,而firefox和IE则支持X-Content-Security-Policy,Chrome25和Firefox23开始支持标准的的Content-Security-Policy,见下表。
完整的浏览器CSP支持情况请移步CanIUse。
如何使用
要使用CSP,只需要服务端输出类似这样的响应头就行了:
Content-Security-Policy: default-src
'self'
default-src是CSP指令,多个指令之间用英文分号分割;'self'是指令值,多个指令值用英文空格分割。目前,有这些CSP指令:
定义针对所有类型(js、image、css、web font,ajax请求,iframe,多媒体等)资源的默认加载策略,某类型资源如果没有单独定义策略,就使用默认的。
script-src'self' js.a.com定义针对JavaScript的加载策略。style-src'self' css.a.com定义针对样式的加载策略。img-src'self' img.a.com定义针对图片的加载策略。connect-src'self'针对Ajax、WebSocket等请求的加载策略。不允许的情况下,浏览器会模拟一个状态为400的响应。
font-srcfont.a.com针对Web Font的加载策略。object-src'self'针对<object>、<embed>或<applet>等标签引入的flash等插件的加载策略。media-srcmedia.a.com针对<audio>或<video>等标签引入的html多媒体的加载策略。frame-src'self'针对frame的加载策略。sandboxallow-forms对请求的资源启用sandbox(类似于iframe的sandbox属性)。
report-uri/report-uri告诉浏览器如果请求的资源不被策略允许时,往哪个地址提交日志信息。
特别的:如果只想让浏览器汇报日志,而不阻止任何内容。可以改用Content-Security-Policy-Report-Only响应头。
指令值可以由下面这些内容组成:
允许加载inline资源(例如常见的style属性,onclick,inline js和inline css等等)。
'unsafe-eval'script-src 'unsafe-eval'允许加载动态js代码,例如eval()。从上面的介绍可以看到,CSP协议可以控制的内容非常多。而且如果不特别指定'unsafe-inline'时,页面上所有inline的样式和脚本都不会执行;不特别指定'unsafe-eval',页面上不允许使用new Function,setTimeout,eval等方式执行动态代码。在限制了页面资源来源之后,被XSS的风险确实小不少。
当然,仅仅依靠CSP来防范XSS是远远不够的,不支持全部浏览器是它的硬伤。不过,鉴于低廉的开发成本,加上也没什么坏处。如果担心影响面太大,也可以像下面这样,仅收集不匹配规则的日志,先观察下:
Content-Security-Policy-Report-Only: script-src
'self'
; report-uri http:
//test/
这样,如果页面上有inline的JS,依然会执行,只是浏览器会向指定地址发送一个post请求,包含这样的信息:
{
"csp-report"
:{
"document-uri"
:
"http://test/test.php"
,
"referrer"
:
""
,
"violated-directive"
:
"script-src 'self'"
,
"original-policy"
:
"script-src 'self'; report-uri http://test/"
,
"blocked-uri"
:
""
}}
- Content Security Policy介绍
- Content Security Policy介绍
- Content Security Policy介绍
- Content Security Policy 介绍
- Content Security Policy
- Content Security Policy 入门教程
- chrome textension Content Security Policy
- Preventing XSS with Content Security Policy
- Using Content Security Policy to Prevent Cross-Site Scripting (XSS)
- Content Security Policy(简称CSP)浏览器内容策略的使用
- Chrome Extension 中的 CSP(Content Security Policy) 开发小记
- CSP(Content Security Policy),在一定程度上能预防XSS攻击
- 关于'It violates the following Content Security Policy directive: ‘iframe-src'’
- 拒绝访问:because it violates the following Content Security Policy directive: "defaul
- Chrome扩展开发 内容安全策略Content Security Policy (CSP) 官方原文部分翻译.
- http强制升级为https http头文件 Content Security Policy: 升级不安全的请求
- Security policy in .Net
- Security Policy 问题解析
- 有道推出了ubuntu版本
- Excel-数据分类导出至多个Sheet NPOI.dll
- 聚合函数min和distinct起到一样的作用
- 解决Android在listview中checkbox批量操作问题
- android设计概述
- Content Security Policy介绍
- 【Java】读取其下所有文件夹与文件的路径
- 鼠标放在物体上,就弹出属性框
- JAVA 极速WEB+ORM框架 JFinal
- android开发路-bitmap转缓存输入流BufferedInputStream
- VC++获得微秒级时间的方法与技巧探讨
- hibernate关联映射
- bootstrap 模态窗口点击图层不关闭写法
- 关于后盾网yii框架的学习小结(1)--yii模块的安装