HTTP协议特性之CSP 指令——NodeJs版

最新推荐文章于 2024-08-06 04:18:53 发布
原创 最新推荐文章于 2024-08-06 04:18:53 发布 · 897 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#Content-Security-Policy #CSP #HTTP

本文介绍了HTTP响应头Content-Security-Policy(CSP)及其在防止跨站脚本攻击中的作用。内容包括CSP的概念,常用的限制方式,并提供了一个NodeJs的快速入门案例,展示如何配置和测试CSP策略。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

一、Content-Security-Policy——内容安全策略

HTTP 响应头 Content-Security-Policy 允许站点管理者在指定的页面控制用户代理的资源。除了少数例外,这条政策将极大地指定服务源 以及脚本端点。这将帮助防止跨站脚本攻击(Cross-Site Script) (XSS).

二、限制方式

Content-Security-Policy<policy-directive>; <policy-directive>

<policy-directive>常用指令

default-src:为其他指令提供备用服务
            default-src无法限制form表单的提交
            另需 form-action 'self' 来进行限制
connect-src:限制能通过脚本接口加载的URL。
font-src:限制通过@font-face加载的字体源。
frame-src: 限制通过类似<frame><iframe> 标签加载的内嵌内容源。
img-src: 限制图片和图标源
media-src:限制通过<audio><video> 标签加载的媒体文件源。
object-src:限制通过  <object>, <embed><applet> 标签加载源。
script-src:限制javascript 源。
style-src:限制层叠样式表文件源。

其他指令参考:Content-Security-Policy

三、快速入门案例

csp.js

const http = require("http")
const config = require("./config/config")
const fs = require("fs");
const server = http.createServer((requestMsg, response) => {
    if(requestMsg.url === "/") {
        fs.readFile("./test.js", (err, data) => {
            //问题:Chrome Content-type:"application/x-javascript——》document
            response.writeHead(200, "ok", {
                "Content-type": "application/x-javascript",
                "Content-Security-Policy": "script-src 'self';form-action 'self'"
            })
            response.end(data);
        })
    }else{ //
        response.writeHead(200,"ok",{
            "Content-type":"application/x-javascript"
        })
        response.end("console.log(123)");
    }
})

server.listen(config.port, config.host, () => {
    console.log(`server starting at ${config.host}:${config.port}`)

})

test.js

console.log('abc')

csp.html:

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>Title</title>
    <style>
        img{
            width: 100px;
        }
    </style>
</head>
<body>
    <form action="https://cdn.bootcss.com/jquery/3.3.1/jquery.slim.min.js">
        <input type="submit" value="提交">
    </form>
    <img src="https://ss2.bdstatic.com/70cFvnSh_Q1YnxGkpoWK1HF6hhy/it/u=3012445745,1904104267&fm=27&gp=0.jpg" alt="">
</body>
<script>
    console.log("我是内联脚本");
</script>
<script src="/dhakdhaskj"></script>
<script src="https://cdn.bootcss.com/jquery/3.3.1/jquery.slim.min.js"></script>
</html>

测试结果:
这里写图片描述
点击提交后:
这里写图片描述
表示default-src无法限制form表单的提交

CSP试题—— 风险人群筛查
weixin_45493055的博客
10-07 2051
CSP试题—— 风险人群筛查 2020.10.07 By ljm C语言满分答案: #include <stdio.h> #include <stdlib.h> /* run this program using the console pauser or add your own getch, system("pause") or input loop */ int main(int argc, char *argv[]) { int n,k,t,x1,y1,x2,y2
CSP试题—— 称检测点查询
weixin_45493055的博客
10-07 1468
CSP试题—— 称检测点查询 2020.10.07 By ljm 题目名称: 称检测点查询 题目背景: 2020 年 6 月 8 日,国务院联防联控机制发布《关于快推进新冠病毒核酸检测的实施意见》,提出对“密切接触者”等八类重点人群“应检尽检”,其他人群“愿检尽检” 。 题目描述: 某市设有n个核酸检测点,编号从1到n,其中i号检测点的位置可以表示为一个平面整数坐标(xi, yi)。为方便预约核酸检测,请根据市民所在位置(X,Y),查询距其最近的三个检测点。 多个检测点距离相同时,编号较小的视为更近。
harmonyos2-node-csp:为节点通信顺序进程
07-01
和声2 节点-csp 为节点通信顺序进程。 使用通道进行风格并发。 警告:此软件包目前处于实验阶段。 要求 这个包需要 ES6 生成器,这些生成器通过将-harmony标志传递给节点解释器来在节点 0.11.6 中打开。 安装 $ npm i csp 跑步 $ node -harmony <file>.js 例子 在两个例程之间的通道上发送和接收值的简单示例。 var csp = require ( "csp" ) ; var chan1 = new csp . Chan ( ) ; // Create an unbuffered channel. csp . spawn ( function * ( ) { for ( var i = 0 ; i < 10 ; i ++ ) { console . log ( "put" , i ) ; yield chan1 . put ( i ) ; // Send 'i' on channel 'chan1'. } yield chan1 . put ( null ) ; } ) ; csp . spawn ( function * ( ) {
HTTP CSP
purple_lumpy的博客
06-23 806
Content Security Policy (CSP) https://developer.mozilla.org/zh-CN/docs/Web/Security/CSP 它体现在: - 限制资源获取 - 报告资源获取越权 限制方式 - default-src 限制全局 - 制定资源类型(资源类型如,connect-src, img-src, manifest-src, ...
内容安全策略(Content Security Policy
热门推荐
wuhuimin521的博客
08-14 2万+
内容安全策略(Content Security Policy) 内容安全策略(Content Security Policy)是一种声明的安全机制,可以让网站运营者能够控制遵循CSP的用户代理(通常是浏览器)的行为。通过控制要启用哪些功能,以及从哪里下载内容,可以减少网站的攻击面。CSP的主要目的是防御跨站点脚本(cross-st...
HTTP CSP详解
码小余の博客
08-18 5879
HTTP CSP详解 跨域脚本攻击 XSS 是最常见、危害最大的网页安全漏洞。 为了防止它们,要采取很多编程措施,非常麻烦。很多人提出,能不能根本上解决问题,浏览器自动禁止外部注入恶意脚本? 这就是"网页安全政策"(Content Security Policy,缩写 CSP)的来历。本文详细介绍如何使用 CSP 防止 XSS 攻击。 一、简介 CSP 的实质就是白名单制度,开发者明确告诉客户端,哪些外部资源可以载和执行,等同于提供白名单。它的实现和执行全部由浏览器完成,开发者只需提供配置。 CSP
HTTP 的内容安全策略(CSP
小秋博客
07-20 410
W3C的Content Security Policy,简称CSP。顾名思义,这个规范与内容安全有关,主要是用来定义页面可以载哪些资源,减少XSS的发生。Chrome扩展已经引入了CSP,通过manifest.json中的content_security_policy字段来定义。一些现代浏览器也支持通过响应头来定义CSP。本文主要介绍如何通过响应头来使用CSP,Chrome扩展中CSP的使用可以...
AngularJS基础 ng-csp 指令详解
10-21
在AngularJS中,ng-csp指令是一个非常重要的安全特性,它允许开发者在内容安全策略(CSP)环境下运行AngularJS应用程序。CSP是一种额外的安全层,用于帮助检测和减轻某些类型的攻击,如跨站脚本(XSS)和数据注入...
nodejs-paris-csp
06-04
Javascript 中的 CSP 简介 2015 年 5 月 20 日在巴黎 Node.js 上的演讲随附的回购 安装 git clone git@github.com:DjebbZ/nodejs-paris-csp.git npm install 用法 运行npm run build并浏览文件index.html以查看结果...
Content Security Policy介绍
qdujunjie的专栏
03-03 1681
转自:http://www.2cto.com/Article/201307/230739.html 本文介绍的是W3C的Content Security Policy,简称CSP。顾名思义,这个规范与内容安全有关,主要是用来定义页面可以载哪些资源,减少XSS的发生。 Chrome扩展已经引入了CSP,通过manifest.json中的content_secur
Express扩展ExpressCsp.zip
07-16
Express Csp 这是一个 Express 扩展,它可以让你在 Express 应用上设置 content - security - policy。示例代码:var csp = require('express-csp');var app = express(); csp.extend(app, {     policy: {         directives: {                    'default-src': ['self', 'https://*.foo.com'],                    'script-src': ['*.apis.bar.com']         }     },     reportPolicy: {         useScriptNonce: true,         useStyleNonce: true,         directives: {                    'default-src': ['self', 'https://*.foo.com'],                     'script-src': ['*.apis.bar.com'],                     'plugin-types': ['application/pdf']         }     } }); 标签:Express
express-csp-header:Express的内容安全策略中间件
03-20
Express的内容安全策略中间件 用法 const { expressCspHeader , INLINE , NONE , SELF } = require ( 'express-csp-header' ) ; app . use ( expressCspHeader ( { directives : { 'default-src' : [ SELF ] , 'script-src' : [ SELF , INLINE , 'somehost.com' ] , 'style-src' : [ SELF , 'mystyles.net' ] , 'img-src' : [ 'data:' , 'images.com' ] , 'worker-src' : [ NONE ] , 'blo
express-csp:内容安全策略的快速扩展
05-22
已归档 快速csp 用法 这是一个Express扩展,它使您可以为Express Application设置 。 原料药 延长 var csp = require ( 'express-csp' ) ; var app = express ( ) ; csp . extend ( app , { policy : { directives : { 'default-src' : [ 'self' , 'https://*.foo.com' ] , 'script-src' : [ '*.apis.bar.com' ] } } , reportPolicy : { useScriptNonce : true , useStyleNonce : true ,
http内容安全策略Content Security Policy(CSP)
focus on security
08-24 6369
内容安全策略CSP是安全性的附层,有助于检测和缓解某些类型的攻击,包括跨站点脚本(https://owasp.org/www-community/attacks/xss/)和数据注入攻击。这些攻击可用于从数据盗窃,站点损坏到恶意软件分发的所有方面。 CSP被设计为完全向后兼容(除CSP本2,其中有在向后兼容性一些明确提到的不一致性)。不支持它的浏览器仍然可以与实现它的服务器一起使用,反之亦然:不支持CSP的浏览器只是忽略它,照常运行,默认为Web内容的标准同源策略。如果站点不提供CSP标头,则浏览器同
HTTP-内容安全策略(CSP)详细
shiyidemingzij的博客
08-19 2311
内容安全策略(CSP),其核心思想十分简单:网站通过发送一个 CSP 头部,来告诉浏览器什么是被授权执行的与什么是需要被禁止的。其被誉为专门为解决XSS攻击而生的神器。 1.前言 内容安全策略 (CSP) 是一个额外的安全层,用于检测并削弱某些特定类型的攻击,包括跨站脚本 (XSS) 和数据注入攻击等。无论是数据盗取、网站内容污染还是散发恶意软件,这些攻击都是主要的手段。 CSP 被设计成完全向后兼容(除CSP2 在向后兼容有明确提及的不一致; 更多细节查看这里 章节1.1)。不支持CSP的浏览器也能
CCF-201403-3-命令行选项
ddqb3235的博客
11-03 196
问题描述 试题编号: 201403-3 试题名称: 命令行选项 时间限制: 1.0s 内存限制: 256.0MB 问题描述: 问题描述   请你写一个命令行分析程序,用以分析给定的命令行里包含哪些选项。每个命令行由若干个字符串组成,它们之间恰好由一个空格分隔。这些字符串中的第一个为该命令行工具的名字,由小写字母组成,你的程序不用对它进行处...
CSP防御
阳水平的博客
04-04 1013
转载:https://developer.mozilla.org/zh-CN/docs/Web/HTTP/CSP 内容安全策略 (CSP) 是一个额外的安全层,用于检测并削弱某些特定类型的攻击,包括跨站脚本 (XSS) 和数据注入攻击等。无论是数据盗取、网站内容污染还是散发恶意软件,这些攻击都是主要的手段。 CSP 被设计成完全向后兼容(除CSP2 在向后兼容有明确提及的不一致; 更多细节查...
关于HTTP中的CSP(Content-Security-Policy)内容安全策略
Wang的专栏
03-08 5957
关于HTTP中的CSPHTTP协议中为了使我们的网站足够的安全,经常要用到CSP(Content-Security-Policy)内容安全策略 CSP的作用 限制网站中资源的获取,以及请求发送到哪里 报告资源获取越权 CSP的限制方式 default-src限制全局和链接请求有关的东西 指定资源类型 connect-src manifest-src img-src font-src media-src style-src frame-src script-src 网页上和链接有关的…
推荐使用express-csp增强您的Express应用安全性
最新发布
gitblog_00059的博客
08-06 565
推荐使用express-csp增强您的Express应用安全性 在当今的网络环境中,确保应用程序的安全性至关重要。express-csp是一个专为Express框架设计的扩展,它允许您轻松地为您的Express应用程序设置Content-Security-PolicyCSP)头。本文将详细介绍express-csp的项目特点、技术分析以及应用场景,帮助您了解如何利用这一工具提升您的应用安全。 项...
深入解析:完整的HTTP协议及其实现细节
HTTP协议,全称为超文本传输协议(HyperText Transfer Protocol),是一种用于分布式、协作式和超媒体信息系统的应用层协议。它是由蒂姆·伯纳斯-李在1989年发明的,用于从万维网服务器传输超文本到本地浏览器。HTTP...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值