内容安全策略( CSP )

最新推荐文章于 2025-03-07 22:51:24 发布
最新推荐文章于 2025-03-07 22:51:24 发布
阅读量1.3k 收藏
点赞数 1
分类专栏: web安全

内容安全策略   (CSP) 是一个额外的安全层,用于检测并削弱某些特定类型的攻击,包括跨站脚本 (XSS) 和数据注入攻击等。无论是数据盗取、网站内容污染还是散发恶意软件,这些攻击都是主要的手段。

内容源

大多数策略指令需要一个或多个内容源。内容源是一串表明内容可能从哪里加载的字符串。

源列表

源列表是一个字符串,指定了一个或多个互联网主机(通过主机名或 IP 地址),和可选的 URL 协议和/或端口号。站点地址可以包含可选的通配符前缀 (星号, '*'),端口号也可以使用通配符 (同样是 '*') 来表明所有合法端口都是有效来源。主机通过空格分隔。

有效的主机表达式包括:

http://*.foo.com
匹配所有使用  http: 协议加载 foo.com 任何子域名的尝试。
mail.foo.com:443
匹配所有访问 mail.foo.com 的 443 端口 的尝试。
https://store.foo.com
匹配所有使用  https: 协议访问 store.foo.com 的尝试。

如果端口号没有被指定,浏览器会使用指定协议的默认端口号。如果协议没有被指定,浏览器会使用访问该文档时的协议。

关键字

有一些关键字可以用来描述某类特别的内容源。它们是:

'none'
代表空集;即不匹配任何 URL。两侧单引号是必须的。
'self'
代表和文档同源,包括相同的 URL 协议和端口号。两侧单引号是必须的。
'unsafe-inline'
允许使用内联资源,如内联的  <script> 元素、 javascript: URL、内联的事件处理函数和内联的  <style> 元素。两侧单引号是必须的。
'unsafe-eval'
允许使用  eval() 等通过字符串创建代码的方法。两侧单引号是必须的。
注意: 使用 'unsafe-inline' 和 'unsafe-eval' 都是不安全的,它们会使您的网站有跨站脚本攻击风险。

例如,您可以指定内容能从文档源和 trustedscripts.foo.com 加载:

Content-Security-Policy: default-src 'self' trustedscripts.foo.com

数据

注意:  data: URI 是不安全的,如果它们被允许成为脚本来源,则会使您的网站有跨站脚本攻击风险。
data:
允许  data: URI 作为内容来源。这是不安全的,因为攻击者可以精心构造 data: URI 来攻击。请谨慎地使用这个源,并确保不要用于脚本。
mediastream:
允许  mediastream: URI 作为内容源。 
Content-Security-Policy: default-src 'self'; img-src 'self' data:; media-src mediastream:

CSP 被设计成完全向后兼容(除CSP2 在向后兼容有明确提及的不一致;  更多细节查看这里 章节1.1)。不支持CSP的浏览器也能与实现了CSP的服务器正常合作,反之亦然:不支持 CSP 的浏览器只会忽略它,如常运行,默认为网页内容使用标准的同源策略。如果网站不提供 CSP 头部,浏览器也使用标准的同源策略

为使CSP可用, 你需要配置你的网络服务器返回  Content-Security-Policy  HTTP头部 ( 有时你会看到一些关于X-Content-Security-Policy头部的提法, 那是旧版本,你无须再如此指定它)。

除此之外,  <meta>  元素也可以被用来配置该策略, 例如

<meta http-equiv="Content-Security-Policy" content="default-src 'self'; img-src https://*; child-src 'none';">

示例:常见用例

这一部分提供了一些常用的安全策略方案示例。

示例 1

一个网站管理者想要所有内容均来自站点的同一个源 (不包括其子域名)

Content-Security-Policy: default-src 'self'

示例 2

一个网站管理者允许内容来自信任的域名及其子域名 (域名不必须与CSP设置所在的域名相同)

Content-Security-Policy: default-src 'self' *.trusted.com

示例 3

一个网站管理者允许网页应用的用户在他们自己的内容中包含来自任何源的图片, 但是限制音频或视频需从信任的资源提供者(获得),所有脚本必须从特定主机服务器获取可信的代码.

Content-Security-Policy: default-src 'self'; img-src *; media-src media1.com media2.com; script-src userscripts.example.com

在这里,各种内容默认仅允许从文档所在的源获取, 但存在如下例外:

  • 图片可以从任何地方加载(注意 "*" 通配符)。
  • 多媒体文件仅允许从 media1.com 和 media2.com 加载(不允许从这些站点的子域名)。
  • 可运行脚本仅允许来自于userscripts.example.com。

示例 4

一个线上银行网站的管理者想要确保网站的所有内容都要通过SSL方式获取,以避免攻击者窃听用户发出的请求。

Content-Security-Policy: default-src https://onlinebanking.jumbobank.com

该服务器仅允许通过HTTPS方式并仅从onlinebanking.jumbobank.com域名来访问文档。

示例 5

 一个在线邮箱的管理者想要允许在邮件里包含HTML,同样图片允许从任何地方加载,但不允许JavaScript或者其他潜在的危险内容(从任意位置加载)。

Content-Security-Policy: default-src 'self' *.mailsite.com; img-src *

 注意这个示例并未指定script-src。在此CSP示例中,站点通过 default-src 指令的对其进行配置,这也同样意味着脚本文件仅允许从原始服务器获取。

浏览器兼容性

新的兼容性表格正在测试中 
 DesktopMobile
 ChromeEdgeFirefoxInternet ExplorerOperaSafariAndroid webviewChrome for AndroidEdge MobileFirefox for AndroidOpera for AndroidiOS SafariSamsung Internet
Content-Security-PolicyFull support25
Notes
打开		Full support14Full support23
Notes
打开		Full support10
Notes
打开		Full support15Full support7
Notes
打开		Full supportYesFull supportYesFull supportYesFull support23?Full support7.1
Notes
打开		Full supportYes
base-uriFull support40No supportNoFull support35No supportNoFull support27Full support10Full supportYesFull supportYesNo supportNoFull support35?Full support9.3Full supportYes
block-all-mixed-contentFull supportYes?Full support48No supportNoFull supportYes?Full supportYesFull supportYes?Full support48??Full supportYes
child-src
Deprecated
Full support40Full support15Full support45No supportNoFull support27Full support10Full supportYesFull supportYesNo supportNoFull support45?Full support9.3Full supportYes
connect-srcFull support25Full support14Full support23
Notes
打开		No supportNoFull support15Full support7Full supportYesFull supportYes?Full support23?Full support7.1Full supportYes
default-srcFull support25Full support14Full support23No supportNoFull support15Full support7Full supportYesFull supportYes?Full support23?Full support7.1Full supportYes
disown-opener
Experimental
No supportNoNo supportNoNo supportNoNo supportNoNo supportNoNo supportNoNo supportNoNo supportNoNo supportNoNo supportNoNo supportNoNo supportNoNo supportNo
font-srcFull support25Full support14Full support23No supportNoFull support15Full support7Full supportYesFull supportYes?Full support23?Full support7.1Full supportYes
form-actionFull support40Full support15Full support36No supportNoFull support27Full support10Full supportYesFull supportYesNo supportNoFull support36?Full support9.3Full supportYes
frame-ancestorsFull support40Full support15Full support33
Notes
打开		No supportNoFull support26Full support10?Full supportYesNo supportNoFull support33
Notes
打开		?Full support9.3Full supportYes
frame-srcFull support25Full support14Full support23No supportNoFull support15Full support7Full supportYesFull supportYes?Full support23?Full support7.1Full supportYes
img-srcFull support25Full support14Full support23No supportNoFull support15Full support7Full supportYesFull supportYes?Full support23?Full support7.1Full supportYes
manifest-srcFull supportYesNo supportNoFull support41No supportNoFull supportYesNo supportNoFull supportYesFull supportYesNo supportNoFull support41?No supportNoFull supportYes
media-srcFull support25Full support14Full support23No supportNoFull support15Full support7Full supportYesFull supportYes?Full support23?Full support7.1Full supportYes
navigation-to
Experimental
No supportNoNo supportNoNo supportNoNo supportNoNo supportNoNo supportNoNo supportNoNo supportNoNo supportNoNo supportNoNo supportNoNo supportNoNo supportNo
object-srcFull support25Full support14Full support23No supportNoFull support15Full support7Full supportYesFull supportYes?Full support23?Full support7.1Full supportYes
plugin-typesFull support40Full support15No supportNo
Notes
打开		No supportNoFull support27Full support10Full supportYesFull supportYesNo supportNoNo supportNo?Full support9.3Full supportYes
referrer
Deprecated Non-standard
No support33 — 56No supportNoFull support37
Notes
打开		No supportNoNo support? — 43No supportNoNo support33 — 56No support33 — 56No supportNoFull support37
Notes
打开		No support? — 43No supportNoFull supportYes
report-sample
Experimental
Full support59???Full support46?Full support59Full support59??Full support46?Full support7.0
report-toNo supportNoNo supportNoNo supportNoNo supportNoNo supportNoNo supportNoNo supportNoNo supportNoNo supportNoNo supportNoNo supportNoNo supportNoNo supportNo
report-uri
Deprecated
Full support25Full support14Full support23No supportNoFull support15Full support7Full supportYesFull supportYes?Full support23?Full support7.1Full supportYes
require-sri-for
Experimental
Full support54No supportNoFull support49
Disabled
打开		No supportNoFull support41No supportNoFull support54Full support54No supportNoFull support49
Disabled
打开		Full support41No supportNoFull support6.0
sandboxFull support25Full support14Full support50Full support10Full support15Full support7Full supportYesFull supportYes?Full support50?Full support7.1Full supportYes
script-srcFull support25Full support14Full support23No supportNoFull support15Full support7Full supportYesFull supportYes?Full support23?Full support7.1Full supportYes
strict-dynamicFull support52No supportNoFull support52No supportNoFull support39No supportNoFull support52Full support52No supportNoNo supportNoFull support39No supportNoFull support6.0
style-srcFull support25Full support14Full support23No supportNoFull support15Full support7Full supportYesFull supportYes?Full support23?Full support7.1Full supportYes
upgrade-insecure-requestsFull support43No supportNo
Notes
打开		Full support42No supportNoFull support30No supportNoFull support43Full support43No supportNoFull support42Full support30No supportNoFull support4.0
worker-srcFull support59
Notes
打开		No supportNoFull support58No supportNoFull support48No supportNoFull support59
Notes
打开		Full support59
Notes
打开		No supportNoFull support58Full support48No supportNoFull support7.0


前端的CSP & CSP如何落地,了解一下
Arui_0的博客
09-03 1259
CSP(Content-Security-Policy)是一个HTTP response header, 它描述允许页面控制用户代理能够为指定的页面加载哪些资源, 可防止XSS攻击 使用方式: Content-Security-Policy: 指令1 指令1的值1 指令1的值2 指令1的值3; 指令2 指令2的值1 指令2的值2 复制代码 调试工具: Chrome插件——modheader。通过随意设置响应头来测试CSP 简单过一遍常见的指令 获取资源相关的指令 font-src frame-src im
XSS防御 内容安全策略 CSP工作原理、配置技巧与最佳实践_安全策略 img-src
2401_83739951的博客
04-12 1003
定义了通过脚本 (例如 Fetch API, XMLHttpRequest 或 WebSockets) 连接的源。⚠️ 由于CSP机制会拒绝白名单内的资源,这个行为对于稳定运行的线上项目其实是比较危险的。CSP策略是设置了许多内容源的字符串,内容源可以对协议、主机host、关键词等等。开发者可以通过下面的手段通知浏览器那些资源是安全的,可加载执行的;:定义哪些源的样式可以被安全地加载和应用。: 定义了哪些源的脚本可以被安全地执行。:指定了哪些源的字体可以被安全地加载。:指定了,,和元素能够加载资源的源。
EvalError: Refused to evaluate a string as JavaScript because ‘unsafe-eval‘ is not an allowed source
最新发布
你若盛开,清风自来
03-07 954
错误通常是由于在CSP策略中未允许,而代码中使用了eval()或类似功能。避免使用eval():尽量使用其他安全的替代方法,如Function构造函数、模板字符串或DOM操作。配置CSP:在CSP策略中添加,但需谨慎使用,避免引入安全风险。使用安全的替代方案:确保传递给Function构造函数的参数是安全的。更新和测试插件:确保浏览器插件和扩展的CSP配置正确。通过这些方法,开发者可以提高代码的健壮性,减少运行时错误,提升应用的稳定性和用户体验。建议开发者定期检查和测试代码,确保所有引用都正确无误。
CSP安全策略
菜菜鸟的博客
07-04 908
介绍 内容安全策略 (CSP) 是一个附加的安全层,用于帮助检测和缓解某些类型的攻击,包括跨站脚本 (XSS) 和数据注入等攻击。 这些攻击可用于实现从数据窃取到网站破坏或作为恶意软件分发版本等用途。 启动方式 1. 浏览器客户端启动 <meta http-equiv="Content-Security-Policy" content="script-src 'self'"> 2. 服务器nginx启动 server { listen 3012 ;
CSP内容安全策略
qw419828的博客
12-23 732
CSP内容安全策略
XSS防御 内容安全策略 CSP工作原理、配置技巧与最佳实践_安全策略 img-src(2)
2401_84264610的博客
05-13 1063
在结束之际,我想重申的是,学习并非如攀登险峻高峰,而是如滴水穿石般的持久累积。尤其当我们步入工作岗位之后,持之以恒的学习变得愈发不易,如同在茫茫大海中独自划舟,稍有松懈便可能被巨浪吞噬。然而,对于我们程序员而言,学习是生存之本,是我们在激烈市场竞争中立于不败之地的关键。一旦停止学习,我们便如同逆水行舟,不进则退,终将被时代的洪流所淘汰。因此,不断汲取新知识,不仅是对自己的提升,更是对自己的一份珍贵投资。让我们不断磨砺自己,与时代共同进步,书写属于我们的辉煌篇章。需要完整版PDF学习资源私我。
内容安全策略(CSP)详解
weixin_47450807的博客
03-02 8565
在上一篇博客我们主要总结了XSS攻击,本篇博客主要总结内容安全策略CSP的相关内容。 一、定义 内容安全策略(CSP),是一种安全策略,其原理是当浏览器请求某一个网站时,告诉该浏览器申明文件可以执行,什么不可以执行。CSP是专门解决XSS攻击而生的神器。 CSP的引入会使得我们的引入扩展程序更加安全,并且可以由开发者指定可以加载扩展程序的类型,避免恶意的脚本在浏览器中执行,造成信息泄露问题。 二、CSP的意义 CSP是防XSS的利器,可以把其理解为白名单,开发者通过设置CSP的内容,来规定浏览器可以加载的资
HTML5安全介绍之内容安全策略CSP)简介
01-19
万维网的安全策略植根于同源策略。...每个来源都与网络的其它部分分隔开,为开发人员构建了一个... 现在我们介绍一个全新的、有效的安全防御策略来减轻这种风险,这就是内容安全策略(ContentSecurity Policy,CSP)。
「 网络安全术语解读 」内容安全策略CSP详解
所有成功的背后,都是痛苦的坚持,所有的痛苦,都是傻瓜般的不放弃!
01-09 3607
CSP(Content Security Policy,内容安全策略)是一种网络安全技术,它通过限制网页中可以加载的资源(如脚本和图像),来防止恶意攻击,如跨站脚本攻击(XSS)。CSP的主要原理是通过在网页中实施一些安全策略来限制代码执行,从而减少攻击者利用的机会。Note:要启用CSP,响应需要包含名为的HTTP响应标头,该标头的值包含策略。策略本身由一个或多个指令组成,由分号分隔。
csp内容安全策略了解
TSHENGCHENGTAO的博客
06-14 1164
csp是一种安全策略,其原理是当浏览器请求某一个网站时,告诉该浏览器申明文件可以执行,什么不可以执行。CSP的引入会使得我们的引入扩展程序更加安全,并且可以由开发者指定可以加载扩展程序的类型,避免恶意的脚本在浏览器中执行,造成信息泄露问题。(xss主要的防御手段)主要可以理解成白名单,CSP 大大增强了网页的安全性。攻击者即使发现了漏洞,也没法注入脚本,除非还控制了一台列入了白名单的可信主机。
CSP 内容安全策略
weixin_33774615的博客
05-24 434
CSP(Content-Security-Policy)内容安全策略,官方解释:CSP是一个额外的完全层,用于检测并小若某些特定类型的攻击,包括跨站脚本攻击XSS和数据注入攻击等。配置方法:1. 后端配置网络服务器返回Content-Security-Policy头部2. 前端通过<meta>标签进行配置<meta http-equiv="Content-Security-Pol...
内容安全策略(Content Security Policy,CSP
AiENG_07的博客
10-16 547
CSP是一组浏览器安全标头的规范,通过这些标头,网站所有者可以告诉浏览器哪些资源可以加载并执行,以及哪些不可以。这有助于防止恶意脚本的注入,因为浏览器将拒绝加载不符合CSP规则的内容。内容安全策略(Content Security Policy,CSP)是一个重要的安全机制,用于帮助保护网站免受恶意攻击和跨站脚本(XSS)等安全威胁。总之,CSP是一个有助于提高网站安全性的重要工具,但需要谨慎配置和管理,以确保安全性与功能之间的平衡。
CSP内容安全策略简介
缘如风的博客
10-22 266
CSP内容安全策略简介
[译]CSP内容安全策略
dzqxwzoe的博客
01-05 281
内容安全策略 () 是一个补充的安全层,用于检测并削弱某些特定类型的攻击,这些攻击包括跨站脚本 () 和数据注入攻击等。无论是数据盗取、网站内容污染还是散发恶意软件,都用到了这些攻击手段。
CSP 内容安全策略, 介绍, 配置CSP策略, CSP实战绕过
探测???
11-06 5289
CSP内容安全策略)是一种额外的安全层,可以帮助检测和减轻某些类型的攻击,如跨站脚本攻击(XSS)和数据注入攻击。CSP允许网站管理员定义哪些动态资源允许执行和加载,有助于防止恶意脚本执行以及非授权内容的加载。通过使用HTTP头部,网站可以控制用户代理如何执行页面的特定部分,这可以显著减少XSS攻击的风险。default-src:设置默认加载资源的策略(例如,自身的源、任何地方的源、或者不加载任何外部资源)。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值