Content Security Policy 入门教程

最新推荐文章于 2025-09-25 20:15:00 发布

原创

最新推荐文章于 2025-09-25 20:15:00 发布 · 2.1k 阅读

1 ·

CC 4.0 BY-SA版权

文章标签：

#安全漏洞 #浏览器 #XSS #CSP #网页安全

跨域脚本攻击 XSS 是最常见、危害最大的网页安全漏洞。

为了防止它们，要采取很多编程措施，非常麻烦。很多人提出，能不能根本上解决问题，浏览器自动禁止外部注入恶意脚本？这就是”网页安全政策”（Content Security Policy，缩写 CSP）的来历。本文详细介绍如何使用 CSP 防止 XSS 攻击。

一、简介

CSP 的实质就是白名单制度，开发者明确告诉客户端，哪些外部资源可以加载和执行，等同于提供白名单。它的实现和执行全部由浏览器完成，开发者只需提供配置。CSP 大大增强了网页的安全性。攻击者即使发现了漏洞，也没法注入脚本，除非还控制了一台列入了白名单的可信主机。

两种方法可以启用 CSP。一种是通过 HTTP 头信息的Content-Security-Policy的字段。

Content-Security-Policy: script-src 'self'; object-src 'none'; 
style-src cdn.example.org third-party.org; child-src https:

另一种是通过网页的<meta>标签。

<meta http-equiv="Content-Security-Policy" content="script-src 'self'; object-src 'none'; style-src cdn.example.org third-party.org; child-src https:">

上面代码中，CSP 做了如下配置。

脚本：只信任当前域名

标签：不信任任何URL，即不加载任何资源

样式表：只信任cdn.example.org和third-party.org

框架（frame）：必须使用HTTPS协议加载

其他资源：没有限制

启用后，不符合 CSP 的外部资源就会被阻止加载。

Chrome 的报错信息。

Firefox 的报错信息。

最低0.47元/天解锁文章

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

阿里安全

关注关注

0
点赞
踩
1

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

专栏目录

什么是 Content Security Policy (CSP)？它在 JavaScript 安全中有什么作用？

weixin_41455464的博客

07-26

773

也就是说，你可以在服务器端设置一个规则，比如只允许加载来自你自己的服务器的脚本，拒绝所有其他来源的脚本。它可以让你明确指定哪些来源的资源是允许加载的，从而保护你的网页安全。掌握CSP，就像给你的网页装上了一个“守护神”，让你的用户可以放心地浏览你的网页。在没有CSP的日子里，网页就像不设防的城市，谁都能随便进出。黑客们利用XSS（跨站脚本攻击）漏洞，往你的网页里注入恶意脚本，偷取用户信息，篡改页面内容，简直防不胜防。CSP的语法其实很简单，就像写菜谱一样，告诉浏览器你想允许哪些资源，不允许哪些资源。

在 ‌Nginx + Laravel‌ 环境中配置 ‌CSP (Content Security Policy)‌ 安全头

深山技术宅的博客

05-25

1269

在 Nginx + Laravel 环境中配置 CSP (Content Security Policy) 安全头可以有效防止 XSS 和数据注入攻击。本文提供了完整的配置指南，涵盖动态生成 Nonce、报告模式以及常见框架兼容性处理。

参与评论您还未登录，请先登录后发表或查看评论

Content Security Policy (CSP)内容安全策略

飞翔的熊blabla

08-05

1288

CSP简介 Content Security Policy(CSP)，内容（网页）安全策略，为了缓解潜在的跨站脚本问题(XSS攻击)，浏览器的扩展程序系统引入了内容安全策略（CSP）这个概念。 CSP 的实质就是白名单制度，开发者明确告诉客户端，哪些外部资源可以加载和执行，等同于提供白名单。它的实现和执行全部由浏览器完成，开发者只需提供配置。两种方法启用 CSP 一种是通过 HTTP 响应头信息的Content-Security-Policy字段。一种是通过网页的标签。 <meta h

【网络安全】Content Security Policy (CSP) 介绍

th3383193的博客

12-11

2747

内容安全策略 (CSP) 是一个额外的安全层，用于检测并削弱某些特定类型的攻击，包括跨站脚本 (XSS) 和数据注入攻击等。无论是数据盗取、网站内容污染还是散发恶意软件，这些攻击都是主要的手段。

HTTP安全响应头--CSP（Content-Security-Policy）

最新发布

weixin_42451330的博客

09-25

2223

CSP（内容安全策略）是一种浏览器安全机制，通过白名单机制限制资源加载来源，防止XSS攻击、数据泄露等安全威胁。可通过HTTP头或HTML meta标签设置，常用指令包括script-src、style-src等控制各类资源加载。配置时需注意避免使用高风险指令如unsafe-inline，并建议先使用report-only模式测试。文中提供了Nginx、Tomcat和SpringBoot的配置示例，强调在生产前需验证配置以避免误杀合法资源。CSP能有效提升Web应用安全性，但需合理配置才能发挥最大作用。

WEB安全：Content Security Policy (CSP) 详解

_midnight的博客

05-28

2244

跨站脚本攻击 (XSS) 是一种常见的安全漏洞，攻击者通过注入恶意脚本来劫持用户会话、破坏网站内容或进行钓鱼攻击。存储型 XSS：恶意脚本被永久存储在目标服务器上（如数据库），并在用户访问时执行。反射型 XSS：恶意脚本通过 URL 参数或表单提交传递，并在服务器响应中反射给用户。DOM 型 XSS：恶意脚本通过修改客户端的 DOM 结构直接在浏览器中执行。

Content-Security-Policy.md

06-05

如何设置meta 标签防止XSS攻击,以及CSP的一些说明, CSP 大大增强了网页的安全性。攻击者即使发现了漏洞，也没法注入脚本，除非还控制了一台列入了白名单的可信主机。两种方法可以启用 CSP。一种是通过 HTTP 头信息的`Content-Security-Policy`的字段。

Content Security Policy

qq_38344321的博客

09-03

5633

Content Security Policy（内容安全策略，简称csp）用于检测并阻止网页加载非法资源的安全策略，可以减轻xss攻击带来的危害和数据注入等攻击。本文讲述的内容主要有如何使用csp和业务接入csp流程这两部分。简介 csp主要工作是定义一套页面资源加载白名单规则，浏览器使用csp规则去匹配所有资源，禁止加载不符合规则的资源，同时将非法资源请求进行上报。 csp作用：减轻网页被xss攻击后所受到的危害。实际上csp是在xss攻击发生后才起作用，阻止请求注入的非法资源，csp并不是直接阻止xs

Content Security Policy (CSP) Bypass

kid的博客

05-14

912

Content Security Policy (CSP) Bypass 前言 Content Security Policy（网页安全政策），缩写 CSP 首先我们要理解什么是CSP，下面的博文讲的还是很清楚 Content Security Policy 入门教程 Content Security Policy (CSP) is a computer security standard in...

Content-Security-Policy 入门必知

wy818的专栏

03-18

999

CSP 的实质就是白名单制度，开发者明确告诉客户端，哪些外部资源可以加载和执行，等同于提供白名单。它的实现和执行全部由浏览器完成，开发者只需提供配置。 CSP 大大增强了网页的安全性。攻击者即使发现了漏洞，也没法注入脚本，除非还控制了一台列入了白名单的可信主机。两种方法可以启用 CSP。一种是通过 HTTP 头信息的Content-Security-Policy的字段。 Header set Content-Security-Policy "script-src 'https:'; obj.

Content-Security-Policy

GalaxySpaceX的博客

09-12

1838

Content-Security-Policy

CSP Content Security Policy（内容安全策略）

睡不着的可乐博客

01-21

2152

CSP 前端中的 CSP 指的是 Content Security Policy（内容安全策略），是一种用于提升网站安全性的浏览器功能。CSP 主要用于防止 XSS（跨站脚本攻击）和数据注入攻击，通过限制网页中的内容来源（如脚本、样式、图像、媒体等）来降低被恶意代码利用的风险。

什么是 Content Security Policy

weixin_42156055的博客

10-12

481

什么是Content Security Policy ？ csp是一种白名单制度，他告诉浏览器信任哪些域名下的资源，哪些可以执行，哪些不可以执行可以在一定程度上防御XSS 开启方式配置HTTP头信息 Content Security Policy 使用html meta标签 <meta http-equiv="Content-Security-Policy" content="script-src 'self'; object-src 'none'; style-src.

WEB应用内容安全策略(Content Security Policy)

A_991128a的博客

01-15

4883

它通过让开发者对自己WEB应用声明一个外部资源加载的白名单,使得客户端在运行WEB应用时对外部资源的加载做出筛选和识别,只加载被允许的网站资源.对于不被允许的网站资源不予加载和执行.同时,还可以将WEB应用中出现的不被允许的资源链接和详情报告给我们指定的网址.如此,大大增强了WEB应用的安全性.使得攻击者即使发现了漏洞,也没法注入脚本,除非还控制了一台列入了白名单的服务器.使用这种模式,将会直接阻止非法的外部资源加载,同时也可以选择是否配置将非法资源加载的链接和行为报告给我们指定的网址。

Web安全之Content Security Policy(CSP 内容安全策略)详解

路多辛的所思所想

04-12

8034

Content-Security-Policy值由一个或多个指令组成，多个指令用分号分隔。script-src：外部脚本style-src：样式文件img-src：图片文件media-src：媒体文件（音频和视频）font-src：字体文件object-src：插件（比如 Flash）child-src：框架frame-ancestors：嵌入的外部资源（比如、、和）

Content Security Policy是什么？

m0_57236802的博客

06-30

611

CSP 的工作原理是允许网站管理员发送一个 Content-Security-Policy HTTP 头部，这个头部包含一份策略，策略规定了浏览器如何处理网页的资源。比如，管理员可以设置一个策略，只允许浏览器加载同源（same origin）的脚本，这样，即使黑客注入了一个恶意脚本，浏览器也不会执行它。CSP 提供了很多其他的策略指令，可以用来限制图片、CSS、字体等其他资源的加载，也可以用来设置报告策略，告诉浏览器在哪里报告策略的违规行为。这些攻击主要用于实现数据窃取、网站破坏或恶意软件分发。

Content-Security-Policy —— HTML HTTP的内容安全策略

林中路

07-23

3807

是什么 HTTP 协议的 Content-Security-Policy 响应头允许网站管理员控制用户代理可以为给定页面加载的资源有什么用可以防止[[Web安全详解#跨站点脚本攻击]] 语法 Content-Security-Policy: <policy-directive>; <policy-directive> 指令<policy-directive>说明获取资源型指令可选来源 <host-source> : 因特网主机的名称或IP地址，以及

插件content_security_policy

02-13

### 插件中的 Content Security Policy 配置为了确保浏览器插件的安全性，配置 `content_security_policy` 是至关重要的。这不仅能够防止跨站脚本攻击（XSS），还能有效阻止其他类型的恶意代码注入。 #### 定义 CSP 基础结构在 Chrome 扩展程序或 Firefox 浏览器插件的清单文件 (`manifest.json`) 中定义 `content_security_policy` 字段来指定安全策略： ```json { "name": "My Secure Plugin", "version": "1.0", "manifest_version": 3, "content_security_policy": { "extension_pages": "script-src 'self'; object-src 'none'" } } ``` 此配置仅允许从扩展本身加载 JavaScript 文件，并完全禁用了 `<object>`、`<embed>` 和 `<applet>` 标签的内容加载[^4]。 #### 使用默认源指令简化声明当多个资源类型共享相同的规则时，可以利用 `default-src` 来减少重复声明的数量： ```json { "content_security_policy": { "extension_pages": "default-src 'self';" } } ``` 上述设置适用于所有未特别指出的资源请求路径，默认情况下只信任来自同一域的数据流[^5]。 #### 实施严格模式增强安全性对于追求最高级别的防护措施而言，在可能的情况下应尽可能采用更严格的约束条件： ```json { "content_security_policy": { "extension_pages": "default-src 'self'; script-src 'self' 'unsafe-inline' 'unsafe-eval'; style-src 'self' 'unsafe-inline'; frame-ancestors 'none'; base-uri 'self'; form-action 'self'; connect-src 'self'; font-src 'self'; img-src 'self'; media-src 'self'; manifest-src 'self'; child-src 'self'; worker-src 'self';" } } ``` 请注意，尽管这里启用了 `'unsafe-inline'` 和 `'unsafe-eval'` 方便开发调试，但在生产环境中应当谨慎考虑移除这些选项以提高整体安全性[^3]。