前端内容安全策略(csp)

最新推荐文章于 2025-01-14 15:15:11 发布
原创 最新推荐文章于 2025-01-14 15:15:11 发布
· 418 阅读 · 7 ·
版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#前端

csp是一个额外的安全层,用于检测并削弱某些特定类型的攻击,包括跨站脚本 (XSS) 和数据注入攻击等。无论是数据盗取、网站内容污染还是散发恶意软件,这些攻击都是主要的手段

通过CSP协定,让WEB处于一个安全的运行环境中。

有什么用?

========================================================================

我们知道前端有个很著名的”同源策略”,简而言之,就是说一个页面的资源只能从与之同源的服务器获取,而不允许跨域获取.这样可以避免页面被注入恶意代码,影响安全.但是这个策略是个双刃剑,挡住恶意代码的同时也限制了前端的灵活性,那有没有一种方法既可以让我们可以跨域获取资源,又能防止恶意代码呢?

答案是当然有了,这就是csp,通过csp我们可以制定一系列的策略,从而只允许我们页面向我们允许的域名发起跨域请求,而不符合我们策略的恶意攻击则被挡在门外.从而实现

需要说明的一点是,目前主流的浏览器都已支持csp.所以我们可以放心大胆的用了.

指令

=====================================================================

指令就是csp中用来定义策略的基本单位,我们可以使用单个或者多个指令来组合作用,功能防护我们的网站.

以下是常用的指令说明:

在这里插入图片描述

指令值

======================================================================

所有以-src结尾的指令都可以用一下的值来定义过滤规则,多个规则之间可以用空格来隔开

在这里插入图片描述

如何使用

=======================================================================

1、HTTP Header

通过 HTTP Header来定义 :

“Content-Security-Policy:” 策略集

2、 通过 html meta标签使用

如果http header头设置了csp 浏览器会优先使用http header设置的csp策略

示例

=====================================================================

多个资源时,后面的会覆盖前面的

每一条策略都是都是由指令和指令值组成

总结

三套“算法宝典”

28天读完349页,这份阿里面试通关手册,助我闯进字节跳动

算法刷题LeetCode中文版(为例)

人与人存在很大的不同,我们都拥有各自的目标,在一线城市漂泊的我偶尔也会羡慕在老家踏踏实实开开心心养老的人,但是我深刻知道自己想要的是一年比一年有进步。

最后,我想说的是,无论你现在什么年龄,位于什么城市,拥有什么背景或学历,跟你比较的人永远都是你自己,所以明年的你看看与今年的你是否有差距,不想做咸鱼的人,只能用尽全力去跳跃。祝愿,明年的你会更好!

由于篇幅有限,下篇的面试技术攻克篇只能够展示出部分的面试题,详细完整版以及答案解析,有需要的可以关注

2401_84618926
关注
vue源码解析---AST抽象语法树
每天都要努力学习哦~~
08-03 1285
在计算机科学中,抽象语法树(abstract syntax tree或者缩写为AST),或者语法树(syntax tree),是源代码的抽象语法结构的树状表现形式,这里特指编程语言的源代码。我们可以理解为:把 template(模板)解析成一个对象,该对象是包含这个模板所以信息的一种数据,而这种数据浏览器是不支持的,为Vue后面的处理template提供基础数据。...
网络安全最新前端内容安全策略csp),2024年最新网络安全原生开发如何深入进阶
2401_84302583的博客
05-15 731
在结束之际,我想重申的是,学习并非如攀登险峻高峰,而是如滴水穿石般的持久累积。尤其当我们步入工作岗位之后,持之以恒的学习变得愈发不易,如同在茫茫大海中独自划舟,稍有松懈便可能被巨浪吞噬。然而,对于我们程序员而言,学习是生存之本,是我们在激烈市场竞争中立于不败之地的关键。一旦停止学习,我们便如同逆水行舟,不进则退,终将被时代的洪流所淘汰。因此,不断汲取新知识,不仅是对自己的提升,更是对自己的一份珍贵投资。让我们不断磨砺自己,与时代共同进步,书写属于我们的辉煌篇章。需要完整版PDF学习资源私我。
Vue源码:抽象语法树
Continue的博客
10-28 537
文章目录概述实现 概述 在vue模板编译的整个过程,我们可知如下 template字符串生成抽象语法树ast,ast通过渲染函数生成虚拟节点,最后才生成真实UI。本篇主要是关于template转换生成抽象语法树,关于后续过程可移步虚拟DOM和DIFF算法 实现 设置移动指针,判断剩余字符串是开始标签还是结束标签或文字,通过两个栈来保存标签名与容器,遇到开始标签则标签入栈1,生成容器入栈2,遇到文字填充栈2顶内容,闭合则将栈2顶内容移入栈顶前一容器。 parse.js import parseAttrStr
Vue 3:抽象语法树(AST)
最新发布
liuxinghuashao1的博客
01-14 1088
为了高效地实现这一过程,Vue 3 会将模板字符串解析为抽象语法树(AST)。AST 是模板编译的核心,经过一系列转换后生成渲染函数,最终由虚拟 DOM 渲染到页面上。
Jenkins配置定时任务
weixin_43737450的博客
12-23 1946
1、点击任务后,点击配置 2、选择”构建触发器“下面的”定时构建“,并设定定时规则。设置完成后,构建任务就会按照我们设置的时间定时执行了。 3、设定规则 此处定时任务的格式遵循 cron 的语法(可以与 cron 的语法有轻微的差异)。具体格式,每行包含5个字段,依次为分钟、小时、日、月、星期几,并通过 Tab 或空格分隔。 如下图中示例的“每隔15分钟执行一次”为:H/15 * * * * 4、其他常用的规则 每天下午18点定时构建一次 : H 18 * * * 每天上午12点
Vue源码探秘之AST抽象语法树
小R.的博客
12-08 2275
文章目录前言一、抽象语法树是什么二、相关算法储备 - 指针思想三、相关算法储备 - 递归深入1、递归题目12、递归题目2(1) 转换函数写法1(2) 转换函数写法2四、相关算法储备 - 栈1、栈相关知识2、利用“栈”的题目:3、解题思路:4、涉及到的正则表达式相关方法:5、JS代码实现:6、运行结果:五、手写实现AST抽象语法树1. 新建文件夹,创建package.json2. 安装依赖3. 新建webpack.config.js文件,参考webpack官网进行配置4. 新建 www 文件夹,在该文件夹中创
网络安全:(十二)基于 CSP前端内容安全策略:减少 XSS 风险
begei的博客
12-26 797
CSP 是一种 web 安全策略,旨在帮助开发者防止 XSS 攻击及其他代码注入的威胁。它通过定义网页允许加载的内容类型、源站点、请求方式等策略,来限制页面中哪些资源可以被加载、哪些脚本可以执行。通过 CSP 可以将未经授权的内容阻止,从而保护用户数据。通过 CSP 配置,可以有效防止不可信脚本的执行,减少 XSS 攻击的风险。在 Vue 项目中,CSP 配置可以结合内联脚本的nonce和hash控制,进一步提升安全性。
XSS防御 内容安全策略 CSP工作原理、配置技巧与最佳实践_安全策略 img-src
2401_84297944的博客
04-26 1268
对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!CSP策略是设置了许多内容源的字符串,内容源可以对协议、主机host、关键词等等。开发者可以通过下面的手段通知浏览器那些资源是安全的,可加载执行的;💡 CSP 定义了一系列的指令,每个指令控制一个特定的策略。:定义哪些源的样式可以被安全地加载和应用。: 定义了哪些源的脚本可以被安全地执行。:指定了哪些源的字体可以被安全地加载。:指定了,,和元素能够加载资源的源。
js循环引用
m0_45306991的博客
08-28 671
(circular references)是指在对象之间存在相互引用的情况,形成一个闭环,导致对象无法被完全释放和垃圾回收。循环引用发生在当一个对象的属性或成员引用另一个对象,并且这个被引用的对象又直接或间接地引用回原始对象,从而形成一个循环。当存在循环引用时,JavaScript的垃圾回收机制可能无法正确地处理这些对象,因为它们之间的引用形成了一个无法访问的闭环,无法确定哪些对象是不再被使用的。这可能导致内存泄漏,即占用的内存无法被回收,最终导致内存资源的浪费和性能问题。
js中的循环引用
风清扬的专栏
05-14 2589
WeakMap 是一种特殊的 Map,它的键是弱引用,不会影响到对象的存活状态。计数器方法会带来一些额外的问题,比如循环引用无法被检测到,也就是说,如果存在两个对象互相引用,但是都不再被其他对象引用,那么这两个对象就永远不会被回收。比如,A 对象中有一个指向 B 对象的引用,而 B 对象中又有一个指向 A 对象的引用,这样就形成了一个循环引用。在 JavaScript 中,循环引用问题是一个常见问题,常见的解决方法有使用 WeakMap 和 WeakSet,使用计数器,使用双向链表,避免循环引用等。
js 循环引用
weixin_43847079的博客
04-13 798
代码可以到github上下载:https://github.com/douglascrockford/JSON-js 代码可以到github上下载:https://github.com/douglascrockford/JSON-js var order_list =[];//定义一个新数组 var list = res.data.data.order...
jenkins构建触发器定时构建
憧憬是碎了满地凉凉的宝石
12-14 499
jenkins构建触发器定时构建
jenkins构建触发器定时任务
dotNET跨平台
01-29 704
接上篇Jenkins发布.Net项目到IIS前面说到了把项目部署到iis,那么这边有个问题就是这个部署的触发条件是手工还是需要自动的呢。我觉得这个的看具体的场景,假设团队人员比较多,不断的...
jenkins构建触发器设置(定时任务)
大佬云集技术答疑交流群:743262921(进群暗号:222)
10-13 6746
jenkins构建触发器定时任务设置 1.jenkins构建触发器定时任务 2. 在构建触发器处 定时构建语法: (五颗星,中间用空格隔开) * * * * * 第一颗星表示分钟,取值0~59 第二颗星表示小时,取值0~23 第三颗星表示一个月的第几天,取值1~31 第四颗星表示第几月,取值1~12 第五颗星表示一周中的第几天,取值0~7,其中0和7代表的都是周日 1.每30分钟构建一次:H/30 * * * * 2.每2个小时构建一次:H H/2 * * * 3.每天早上
Vue2.x-AST抽象语法树(笔记)
wanghuan1020的博客
02-08 669
Vue2.x-AST抽象语法树(笔记)Vue2.x-AST抽象语法树(笔记)抽象语法树是什么相关算法储备指针思想递归深入递归题目1递归题目2栈简介利用栈的题目手写 AST 抽象语法树构建开发环境使用栈形成 AST识别 attrs Vue2.x-AST抽象语法树(笔记) 抽象语法树是什么 Abstract Syntax Tree - 抽象语法树,简称 AST 抽象语法树本质上就是一个 JS 对象 抽象语法树和虚拟节点的关系 相关算法储备 指针思想 题目:试寻找字符串中,连续重复次数最
vue源码解析一AST抽象语法树
zzz1048506792的博客
01-15 625
写在最前面: 以前只是了解过vue的一些原理性的东西,但是一直疏于总结,从今天开始进行详细的解析vue的源码,并且希望自己能在这个年终完成这些终结,也是对自己的提升 ...
Jenkins构建触发器(定时构建项目)
weixin_30412577的博客
11-14 525
如上图所示,Jenkins通常通过点击“立即构建”来进行手动构建项目,其实也可以使用配置中的 Poll SCM和Build periodically来进行定时自动构建项目; 在“配置”——》“构建触发器”中,如下图所示: Build after other projects are built:在其他项目触发的时候触发,里面有分为三种情况...
前端性能优化与Web安全策略详解
防范方法包括特殊字符过滤和使用内容安全策略CSP)。 2. **CSRF攻击**: - CSRF攻击通过伪造用户请求来执行恶意操作。防御措施可以是添加随机验证码、检查Referer字段和使用校验token。 3. **SQL注入**: - ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值