HTTP CSP

最新推荐文章于 2025-07-04 22:04:29 发布
最新推荐文章于 2025-07-04 22:04:29 发布
阅读量803 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: HTTP
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/purple_lumpy/article/details/93378957
本文介绍了 Content Security Policy (CSP),包括其体现的限制资源获取、报告资源获取越权功能,以及限制方式。通过实验展示了如何限制 inline js 代码执行、外部链接加载的 js 文件域名、form 表单提交方向等,还说明了 CSP 出现异常时向服务器汇报的方法。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

Content Security Policy (CSP)

https://developer.mozilla.org/zh-CN/docs/Web/Security/CSP

它体现在:

 - 限制资源获取

 - 报告资源获取越权

限制方式

 - default-src 限制全局

 - 制定资源类型(资源类型如,connect-src, img-src, manifest-src, img-src, style-src, media-src, font-src, script-src, frame-src, ...)

下面我们来实验一下。

先是server.js 如下

const http = require('http')
const fs = require('fs')
const zlib = require('zlib')

http.createServer(function (request, response) {
    console.log('request come', request.url)

    const html = fs.readFileSync('test.html')
    response.writeHead(200, {
        'Content-Type': 'text/html'
    })
    response.end(html)
    
}).listen(8888)

console.log('serve listening on 8888')

然后test.html 如下。

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <meta name="viewport" content="width=device-width, initial-scale=1.0">
    <meta http-equiv="X-UA-Compatible" content="ie=edge">
    <title>MyHtml</title>
</head>
<body>
    <div>hello world</div>
    <div>don't speak</div>

    <script>
        console.log('inline js')
    </script>
</body>
</html>

test.html 中有inline js 代码,我们不希望执行inline js 代码。因为XSS 攻击就是执行的inline js 代码。那么我们可以这样做,如下。

const http = require('http')
const fs = require('fs')
const zlib = require('zlib')

http.createServer(function (request, response) {
    console.log('request come', request.url)

    const html = fs.readFileSync('test.html')
    response.writeHead(200, {
        'Content-Type': 'text/html',
        'Content-Security-Policy': 'default-src http: https:'
    })
    response.end(html)
    
}).listen(8888)

console.log('serve listening on 8888')

重启服务,刷新页面,就会发现不会执行inline js 并会在控制条打印出报错信息。

下面,我们将html 中加入一个src 它的内容请求自后台。如下。

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <meta name="viewport" content="width=device-width, initial-scale=1.0">
    <meta http-equiv="X-UA-Compatible" content="ie=edge">
    <title>MyHtml</title>
</head>
<body>
    <div>hello world</div>
    <div>don't speak</div>

    <script>
        console.log('inline js')
    </script>

    <script src="/test.js"></script>
</body>
</html>

然后去改一下后台代码,如下。

const http = require('http')
const fs = require('fs')
const zlib = require('zlib')

http.createServer(function (request, response) {
    console.log('request come', request.url)

    if (request.url === '/') {
        const html = fs.readFileSync('test.html')
        response.writeHead(200, {
            'Content-Type': 'text/html',
            'Content-Security-Policy': 'default-src http: https:'
        })
        response.end(html)
    } else {
        response.writeHead(200, {
            'Content-Type': 'application/javascript'
        })
        response.end('console.log("loaded script")')
    }
    
    
}).listen(8888)

console.log('serve listening on 8888')

我们重启服务,刷新页面就可以看到:

 

不仅如此,我们还可以限制,通过外部链接加载的js 文件,它可以通过哪些域名进行加载。比如限制,只能根据本域名下的js 进行加载,如下。

const http = require('http')
const fs = require('fs')
const zlib = require('zlib')

http.createServer(function (request, response) {
    console.log('request come', request.url)

    if (request.url === '/') {
        const html = fs.readFileSync('test.html')
        response.writeHead(200, {
            'Content-Type': 'text/html',
            'Content-Security-Policy': 'default-src \'self\''
            // cannot inline js
            // 'Content-Security-Policy': 'default-src http: https:'
        })
        response.end(html)
    } else {
        response.writeHead(200, {
            'Content-Type': 'application/javascript'
        })
        response.end('console.log("loaded script")')
    }
    
    
}).listen(8888)

console.log('serve listening on 8888')

然后,我们在test.html  中加入一个外链script (不同域),如下。

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <meta name="viewport" content="width=device-width, initial-scale=1.0">
    <meta http-equiv="X-UA-Compatible" content="ie=edge">
    <title>MyHtml</title>
</head>
<body>
    <div>hello world</div>
    <div>don't speak</div>

    <script>
        console.log('inline js')
    </script>

    <script src="/test.js"></script>

    <script src="https://cdn.bootcss.com/jquery/3.4.1/core.js"></script>
</body>
</html>

重启,刷新后,发现:

当然,也可以设置有些域名的js 外链可访问,如下。

const http = require('http')
const fs = require('fs')
const zlib = require('zlib')

http.createServer(function (request, response) {
    console.log('request come', request.url)

    if (request.url === '/') {
        const html = fs.readFileSync('test.html')
        response.writeHead(200, {
            'Content-Type': 'text/html',
            'Content-Security-Policy': 'default-src \'self\' https://cdn.bootcss.com/'
            // cannot inline js
            // 'Content-Security-Policy': 'default-src http: https:'
        })
        response.end(html)
    } else {
        response.writeHead(200, {
            'Content-Type': 'application/javascript'
        })
        response.end('console.log("loaded script")')
    }
    
    
}).listen(8888)

console.log('serve listening on 8888')

我们还可以限制form 表单的提交方向。form 表单不接受default-src 的限制.设置如下。

const http = require('http')
const fs = require('fs')
const zlib = require('zlib')

http.createServer(function (request, response) {
    console.log('request come', request.url)

    if (request.url === '/') {
        const html = fs.readFileSync('test.html')
        response.writeHead(200, {
            'Content-Type': 'text/html',
            'Content-Security-Policy': 'default-src \'self\'; form-action \'self\''
            // 'Content-Security-Policy': 'default-src \'self\' https://cdn.bootcss.com/'
            // cannot inline js
            // 'Content-Security-Policy': 'default-src http: https:'
        })
        response.end(html)
    } else {
        response.writeHead(200, {
            'Content-Type': 'application/javascript'
        })
        response.end('console.log("loaded script")')
    }
    
    
}).listen(8888)

console.log('serve listening on 8888')

test.html 如下。

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <meta name="viewport" content="width=device-width, initial-scale=1.0">
    <meta http-equiv="X-UA-Compatible" content="ie=edge">
    <title>MyHtml</title>
</head>
<body>
    <div>hello world</div>
    <div>don't speak</div>
    <form action="http://www.baidu.com">
        <input type="text" name="name" />
        <input type="submit" />
    </form>
    <script>
        console.log('inline js')
    </script>

    <script src="/test.js"></script>

    <script src="https://cdn.bootcss.com/jquery/3.4.1/core.js"></script>
</body>
</html>

注意:default-src 是将所有的src 属性限制了,包括 img 的src 。如果只想限制js 的src ,可以将default-src 改为 script-src .

汇报

内容安全策略当出现了,我们不希望出现的情况的时候,我们可以申请它向服务器发送一个请求来进行汇报。如下。

const http = require('http')
const fs = require('fs')
const zlib = require('zlib')

http.createServer(function (request, response) {
    console.log('request come', request.url)

    if (request.url === '/') {
        const html = fs.readFileSync('test.html')
        response.writeHead(200, {
            'Content-Type': 'text/html',
            'Content-Security-Policy': 'default-src \'self\'; form-action \'self\'; report-uri /report'
            // 'Content-Security-Policy': 'default-src \'self\' https://cdn.bootcss.com/'
            // cannot inline js
            // 'Content-Security-Policy': 'default-src http: https:'
        })
        response.end(html)
    } else {
        response.writeHead(200, {
            'Content-Type': 'application/javascript'
        })
        response.end('console.log("loaded script")')
    }
    
    
}).listen(8888)

console.log('serve listening on 8888')

重启刷新,会发现,network 中会发送 report 请求。

我们同时,还可以不阻止src,只是发送report ,如下。

const http = require('http')
const fs = require('fs')
const zlib = require('zlib')

http.createServer(function (request, response) {
    console.log('request come', request.url)

    if (request.url === '/') {
        const html = fs.readFileSync('test.html')
        response.writeHead(200, {
            'Content-Type': 'text/html',
            'Content-Security-Policy-Report-Only': 'default-src \'self\'; form-action \'self\'; report-uri /report'
            // 'Content-Security-Policy': 'default-src \'self\'; form-action \'self\'; report-uri /report'
            // 'Content-Security-Policy': 'default-src \'self\' https://cdn.bootcss.com/'
            // cannot inline js
            // 'Content-Security-Policy': 'default-src http: https:'
        })
        response.end(html)
    } else {
        response.writeHead(200, {
            'Content-Type': 'application/javascript'
        })
        response.end('console.log("loaded script")')
    }
    
    
}).listen(8888)

console.log('serve listening on 8888')

 

httpCSP
weixin_33918114的博客
09-22 306
CSP 的概念 Content-Security-Policy 内容安全策略 让网站变得更加安全 详细资料 mdn csp 作用 限制资源获取 报告资源获取越权 限制方式 default-src限制全局 制定资源类型 资源类型 connect-src img-src font-src media-src frame-src script-src manifest-src style-src 一些案...
HTTP CSP详解
码小余の博客
08-18 5876
HTTP CSP详解 跨域脚本攻击 XSS 是最常见、危害最大的网页安全漏洞。 为了防止它们,要采取很多编程措施,非常麻烦。很多人提出,能不能根本上解决问题,浏览器自动禁止外部注入恶意脚本? 这就是"网页安全政策"(Content Security Policy,缩写 CSP)的来历。本文详细介绍如何使用 CSP 防止 XSS 攻击。 一、简介 CSP 的实质就是白名单制度,开发者明确告诉客户端,哪些外部资源可以加载和执行,等同于提供白名单。它的实现和执行全部由浏览器完成,开发者只需提供配置。 CSP
网安系列【3】之深入理解内容安全策略(CSP
最新发布
缘友一世的博客
07-04 950
网安系列之深入理解内容安全策略(CSP
http内容安全策略Content Security Policy(CSP)
focus on security
08-24 6348
内容安全策略CSP是安全性的附加层,有助于检测和缓解某些类型的攻击,包括跨站点脚本(https://owasp.org/www-community/attacks/xss/)和数据注入攻击。这些攻击可用于从数据盗窃,站点损坏到恶意软件分发的所有方面。 CSP被设计为完全向后兼容(除CSP版本2,其中有在向后兼容性一些明确提到的不一致性)。不支持它的浏览器仍然可以与实现它的服务器一起使用,反之亦然:不支持CSP的浏览器只是忽略它,照常运行,默认为Web内容的标准同源策略。如果站点不提供CSP标头,则浏览器同
第十二章 CSP 中的 HTTP 请求 - CSP 运行时环境
yaoxin521123的博客
10-11 546
HTTPCSP
CSP防御
阳水平的博客
04-04 1010
转载:https://developer.mozilla.org/zh-CN/docs/Web/HTTP/CSP 内容安全策略 (CSP) 是一个额外的安全层,用于检测并削弱某些特定类型的攻击,包括跨站脚本 (XSS) 和数据注入攻击等。无论是数据盗取、网站内容污染还是散发恶意软件,这些攻击都是主要的手段。 CSP 被设计成完全向后兼容(除CSP2 在向后兼容有明确提及的不一致; 更多细节查...
CSP
02-09
此外,理解CSPHTTP缓存、CDN等服务的交互也是必要的,以确保策略的正确传播和执行。 总的来说,掌握Java CSP是提高应用程序安全性的关键步骤,它可以帮助开发者构建出更安全的Web应用,有效防止各种安全威胁,...
CSP-J CSP-S NOIP 刷题(2020.02.01).pdf
12-18
### CSP-J/CSP-S/NOIP 刷题指南与知识点解析 #### 一、概述 本文档主要针对准备参加CSP-J/CSP-S/NOIP等计算机科学竞赛的学生,提供了详细的刷题策略与资源推荐。CSP-J/CSP-S是中国计算机学会主办的信息学奥林匹克...
JSON_csp_
10-02
它通过发送HTTPHTTPS响应头来定义这些策略,允许或禁止特定类型的网络请求。 在描述中提到的“树和图的遍历”,这通常是指在数据结构中解决复杂问题时采用的算法。在处理字符串匹配时,可能涉及到构建一个表示...
csp:这个 repo 有一些简单的 CSP 策略,通过 http 标头和元标记提供
06-29
在这个名为“csp”的仓库中,开发者分享了一些简单易用的CSP策略,这些策略可以通过HTTP响应头和HTML元标签来实施。 在HTTP响应头中设置CSP,通常使用`Content-Security-Policy`字段。这是一个非常关键的安全措施,...
2019csp-js试题+答案.zip
02-02
参加CSP-S/J两组两轮认证均须在网上注册报名,注册网站为http://rg.noi.cn。参加认证者必须如实填写个人信息报名,包括但不限于姓名、身份证号、出生日期、性别、就学(学籍学校)/就职单位等,信息一旦注册,不得...
内容安全策略(Content Security Policy)
热门推荐
wuhuimin521的博客
08-14 2万+
内容安全策略(Content Security Policy) 内容安全策略(Content Security Policy)是一种声明的安全机制,可以让网站运营者能够控制遵循CSP的用户代理(通常是浏览器)的行为。通过控制要启用哪些功能,以及从哪里下载内容,可以减少网站的攻击面。CSP的主要目的是防御跨站点脚本(cross-st...
HTTP-内容安全策略(CSP)详细
shiyidemingzij的博客
08-19 2307
内容安全策略(CSP),其核心思想十分简单:网站通过发送一个 CSP 头部,来告诉浏览器什么是被授权执行的与什么是需要被禁止的。其被誉为专门为解决XSS攻击而生的神器。 1.前言 内容安全策略 (CSP) 是一个额外的安全层,用于检测并削弱某些特定类型的攻击,包括跨站脚本 (XSS) 和数据注入攻击等。无论是数据盗取、网站内容污染还是散发恶意软件,这些攻击都是主要的手段。 CSP 被设计成完全向后兼容(除CSP2 在向后兼容有明确提及的不一致; 更多细节查看这里 章节1.1)。不支持CSP的浏览器也能
HTTP 的内容安全策略(CSP
小秋博客
07-20 410
W3C的Content Security Policy,简称CSP。顾名思义,这个规范与内容安全有关,主要是用来定义页面可以加载哪些资源,减少XSS的发生。Chrome扩展已经引入了CSP,通过manifest.json中的content_security_policy字段来定义。一些现代浏览器也支持通过响应头来定义CSP。本文主要介绍如何通过响应头来使用CSP,Chrome扩展中CSP的使用可以...
Content Security Policy介绍
qdujunjie的专栏
03-03 1679
转自:http://www.2cto.com/Article/201307/230739.html 本文介绍的是W3C的Content Security Policy,简称CSP。顾名思义,这个规范与内容安全有关,主要是用来定义页面可以加载哪些资源,减少XSS的发生。 Chrome扩展已经引入了CSP,通过manifest.json中的content_secur
java windows csp https,CSP: block-all-mixed-content - HTTP 中文开发手册
weixin_39641257的博客
03-20 232
HTTP Content-Security-Policy(CSP)block-all-mixed-content指令可防止在使用 HTTPS 加载页面时使用 HTTP 加载任何资产。所有混合内容资源请求都被阻止,包括主动和被动混合内容。这也适用于 文档,确保整个页面都是免费的混合内容。upgrade-insecure-requests指令在之前被评估block-all-mixed-content,...
HTTP协议特性之CSP 指令——NodeJs版
Science Explorer
08-25 895
一、Content-Security-Policy HTTP 响应头 Content-Security-Policy 允许站点管理者在指定的页面控制用户代理的资源。除了少数例外,这条政策将极大地指定服务源 以及脚本端点。这将帮助防止跨站脚本攻击(Cross-Site Script) (XSS)....
关于HTTP中的CSP(Content-Security-Policy)内容安全策略
Wang的专栏
03-08 5922
关于HTTP中的CSPHTTP协议中为了使我们的网站足够的安全,经常要用到CSP(Content-Security-Policy)内容安全策略 CSP的作用 限制网站中资源的获取,以及请求发送到哪里 报告资源获取越权 CSP的限制方式 default-src限制全局和链接请求有关的东西 指定资源类型 connect-src manifest-src img-src font-src media-src style-src frame-src script-src 网页上和链接有关的…
第五十八章 CSP的常见问题 - HTTP请求失败
yaoxin521123的博客
11-26 1259
事件中调用它们,可以直接调用,也可以从onLoad中调用的JavaScript方法调用。如果没有收到超级事件错误,则说明配置正确,并且超级事件错误很可能是由编码错误引起的。通过调用用户定义的错误页来记录其他错误,用户可以在该页中添加自己的日志记录功能。如果在此日志中收到与自定义错误页面无关的内部错误,则可能是核心。在浏览器中,右键单击并查看页面的源代码。如果存在内部错误,如自定义错误页面中的错误,它将被记录到。包含错误的文件的编号显示在最初收到的错误消息中。,其中x是该例程在系列中的编号。
csp语句
05-14
### CSP语句的用法与安全策略 #### 什么是CSP? 内容安全策略(Content Security Policy, 简称 CSP)是一种浏览器支持的安全机制,旨在减少和报告XSS(跨站脚本攻击)、点击劫持以及其他代码注入攻击的风险。通过定义一个白名单来控制页面可以加载哪些资源,从而增强网页的安全性。 #### 如何配置CSPCSP可以通过HTTP响应头或者`<meta>`标签的方式进行配置。以下是两种主要方法: 1. **通过HTTP响应头设置** 在服务器端返回的HTTP响应头部加入如下字段: ```http Content-Security-Policy: policy ``` 其中`policy`表示具体的策略规则。 2. **通过HTML `<meta>` 标签设置** 如果无法修改服务器配置,也可以在HTML文件中使用`<meta>`标签实现相同效果: ```html <meta http-equiv="Content-Security-Policy" content="policy"> ``` #### 常见的CSP指令及其含义 以下是一些常用的CSP指令以及它们的作用[^1]: | 指令 | 描述 | |-------------------|----------------------------------------------------------------------| | `default-src` | 设置默认的源列表,适用于未指定其他特定指令的情况 | | `script-src` | 控制允许执行的JavaScript脚本来源 | | `style-src` | 控制允许使用的CSS样式来源 | | `img-src` | 控制允许加载的图像来源 | | `connect-src` | 控制允许发起Ajax请求、WebSocket连接和其他网络活动的目标地址 | | `font-src` | 控制字体文件的来源 | | `object-src` | 控制Flash或其他插件对象的来源 | | `media-src` | 控制音频和视频媒体的来源 | #### 示例:基本CSP配置 假设我们希望限制网站只能加载来自同域的脚本和样式,并阻止任何外部嵌入的内容,则可以这样配置CSP: ```http Content-Security-Policy: default-src 'self'; script-src 'self'; style-src 'self'; ``` 这条策略意味着只有当前域名下的资源能够被加载并执行,而所有的外部脚本和样式都将被拒绝加载[^1]。 #### 解决常见问题 如果遇到因启用严格CSP而导致的功能失效情况,比如第三方API调用失败或部分UI元素显示异常等问题,可以根据具体需求调整相应的指令值。例如,为了允许某个可信CDN提供静态资源,可以在对应的src属性后面追加该CDN地址: ```http Content-Security-Policy: default-src 'self'; img-src 'self' https://cdn.example.com; ``` 这表明除了本地图片外,还接受由`https://cdn.example.com`提供的图片资源。 #### 使用OWASP工具链辅助实施CSP 对于复杂的Web项目来说,手动维护一份详尽合理的CSP可能会非常困难。此时可借助像SonarQube这样的静态代码分析工具找出潜在风险点,并结合OWASP ZAP等动态扫描器验证实际运行环境下的表现是否符合预期[^4]。 #### 注意事项 - 开发者应当始终遵循最小权限原则,即只为必要的功能开放最低限度的支持。 - 即使启用了全面细致的CSP设定也不能完全替代传统的输入校验和服务端逻辑防护措施[^3]。 ```python def check_csp_compliance(response_headers): """ A simple function to verify if the HTTP response includes a valid CSP header. Args: response_headers (dict): Dictionary of headers from an HTTP Response. Returns: bool: True if CSP is present and correctly formatted; False otherwise. """ csp_header = response_headers.get('Content-Security-Policy', '') return any(keyword in csp_header for keyword in ['default-src', 'script-src']) ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值