HTTP CSP

最新推荐文章于 2025-09-25 20:15:00 发布
原创 最新推荐文章于 2025-09-25 20:15:00 发布 · 828 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文介绍了 Content Security Policy (CSP),包括其体现的限制资源获取、报告资源获取越权功能,以及限制方式。通过实验展示了如何限制 inline js 代码执行、外部链接加载的 js 文件域名、form 表单提交方向等,还说明了 CSP 出现异常时向服务器汇报的方法。

Content Security Policy (CSP)

https://developer.mozilla.org/zh-CN/docs/Web/Security/CSP

它体现在:

 - 限制资源获取

 - 报告资源获取越权

限制方式

 - default-src 限制全局

 - 制定资源类型(资源类型如,connect-src, img-src, manifest-src, img-src, style-src, media-src, font-src, script-src, frame-src, ...)

下面我们来实验一下。

先是server.js 如下

const http = require('http')
const fs = require('fs')
const zlib = require('zlib')

http.createServer(function (request, response) {
    console.log('request come', request.url)

    const html = fs.readFileSync('test.html')
    response.writeHead(200, {
        'Content-Type': 'text/html'
    })
    response.end(html)
    
}).listen(8888)

console.log('serve listening on 8888')

然后test.html 如下。

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <meta name="viewport" content="width=device-width, initial-scale=1.0">
    <meta http-equiv="X-UA-Compatible" content="ie=edge">
    <title>MyHtml</title>
</head>
<body>
    <div>hello world</div>
    <div>don't speak</div>

    <script>
        console.log('inline js')
    </script>
</body>
</html>

test.html 中有inline js 代码,我们不希望执行inline js 代码。因为XSS 攻击就是执行的inline js 代码。那么我们可以这样做,如下。

const http = require('http')
const fs = require('fs')
const zlib = require('zlib')

http.createServer(function (request, response) {
    console.log('request come', request.url)

    const html = fs.readFileSync('test.html')
    response.writeHead(200, {
        'Content-Type': 'text/html',
        'Content-Security-Policy': 'default-src http: https:'
    })
    response.end(html)
    
}).listen(8888)

console.log('serve listening on 8888')

重启服务,刷新页面,就会发现不会执行inline js 并会在控制条打印出报错信息。

下面,我们将html 中加入一个src 它的内容请求自后台。如下。

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <meta name="viewport" content="width=device-width, initial-scale=1.0">
    <meta http-equiv="X-UA-Compatible" content="ie=edge">
    <title>MyHtml</title>
</head>
<body>
    <div>hello world</div>
    <div>don't speak</div>

    <script>
        console.log('inline js')
    </script>

    <script src="/test.js"></script>
</body>
</html>

然后去改一下后台代码,如下。

const http = require('http')
const fs = require('fs')
const zlib = require('zlib')

http.createServer(function (request, response) {
    console.log('request come', request.url)

    if (request.url === '/') {
        const html = fs.readFileSync('test.html')
        response.writeHead(200, {
            'Content-Type': 'text/html',
            'Content-Security-Policy': 'default-src http: https:'
        })
        response.end(html)
    } else {
        response.writeHead(200, {
            'Content-Type': 'application/javascript'
        })
        response.end('console.log("loaded script")')
    }
    
    
}).listen(8888)

console.log('serve listening on 8888')

我们重启服务,刷新页面就可以看到:

 

不仅如此,我们还可以限制,通过外部链接加载的js 文件,它可以通过哪些域名进行加载。比如限制,只能根据本域名下的js 进行加载,如下。

const http = require('http')
const fs = require('fs')
const zlib = require('zlib')

http.createServer(function (request, response) {
    console.log('request come', request.url)

    if (request.url === '/') {
        const html = fs.readFileSync('test.html')
        response.writeHead(200, {
            'Content-Type': 'text/html',
            'Content-Security-Policy': 'default-src \'self\''
            // cannot inline js
            // 'Content-Security-Policy': 'default-src http: https:'
        })
        response.end(html)
    } else {
        response.writeHead(200, {
            'Content-Type': 'application/javascript'
        })
        response.end('console.log("loaded script")')
    }
    
    
}).listen(8888)

console.log('serve listening on 8888')

然后,我们在test.html  中加入一个外链script (不同域),如下。

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <meta name="viewport" content="width=device-width, initial-scale=1.0">
    <meta http-equiv="X-UA-Compatible" content="ie=edge">
    <title>MyHtml</title>
</head>
<body>
    <div>hello world</div>
    <div>don't speak</div>

    <script>
        console.log('inline js')
    </script>

    <script src="/test.js"></script>

    <script src="https://cdn.bootcss.com/jquery/3.4.1/core.js"></script>
</body>
</html>

重启,刷新后,发现:

当然,也可以设置有些域名的js 外链可访问,如下。

const http = require('http')
const fs = require('fs')
const zlib = require('zlib')

http.createServer(function (request, response) {
    console.log('request come', request.url)

    if (request.url === '/') {
        const html = fs.readFileSync('test.html')
        response.writeHead(200, {
            'Content-Type': 'text/html',
            'Content-Security-Policy': 'default-src \'self\' https://cdn.bootcss.com/'
            // cannot inline js
            // 'Content-Security-Policy': 'default-src http: https:'
        })
        response.end(html)
    } else {
        response.writeHead(200, {
            'Content-Type': 'application/javascript'
        })
        response.end('console.log("loaded script")')
    }
    
    
}).listen(8888)

console.log('serve listening on 8888')

我们还可以限制form 表单的提交方向。form 表单不接受default-src 的限制.设置如下。

const http = require('http')
const fs = require('fs')
const zlib = require('zlib')

http.createServer(function (request, response) {
    console.log('request come', request.url)

    if (request.url === '/') {
        const html = fs.readFileSync('test.html')
        response.writeHead(200, {
            'Content-Type': 'text/html',
            'Content-Security-Policy': 'default-src \'self\'; form-action \'self\''
            // 'Content-Security-Policy': 'default-src \'self\' https://cdn.bootcss.com/'
            // cannot inline js
            // 'Content-Security-Policy': 'default-src http: https:'
        })
        response.end(html)
    } else {
        response.writeHead(200, {
            'Content-Type': 'application/javascript'
        })
        response.end('console.log("loaded script")')
    }
    
    
}).listen(8888)

console.log('serve listening on 8888')

test.html 如下。

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <meta name="viewport" content="width=device-width, initial-scale=1.0">
    <meta http-equiv="X-UA-Compatible" content="ie=edge">
    <title>MyHtml</title>
</head>
<body>
    <div>hello world</div>
    <div>don't speak</div>
    <form action="http://www.baidu.com">
        <input type="text" name="name" />
        <input type="submit" />
    </form>
    <script>
        console.log('inline js')
    </script>

    <script src="/test.js"></script>

    <script src="https://cdn.bootcss.com/jquery/3.4.1/core.js"></script>
</body>
</html>

注意:default-src 是将所有的src 属性限制了,包括 img 的src 。如果只想限制js 的src ,可以将default-src 改为 script-src .

汇报

内容安全策略当出现了,我们不希望出现的情况的时候,我们可以申请它向服务器发送一个请求来进行汇报。如下。

const http = require('http')
const fs = require('fs')
const zlib = require('zlib')

http.createServer(function (request, response) {
    console.log('request come', request.url)

    if (request.url === '/') {
        const html = fs.readFileSync('test.html')
        response.writeHead(200, {
            'Content-Type': 'text/html',
            'Content-Security-Policy': 'default-src \'self\'; form-action \'self\'; report-uri /report'
            // 'Content-Security-Policy': 'default-src \'self\' https://cdn.bootcss.com/'
            // cannot inline js
            // 'Content-Security-Policy': 'default-src http: https:'
        })
        response.end(html)
    } else {
        response.writeHead(200, {
            'Content-Type': 'application/javascript'
        })
        response.end('console.log("loaded script")')
    }
    
    
}).listen(8888)

console.log('serve listening on 8888')

重启刷新,会发现,network 中会发送 report 请求。

我们同时,还可以不阻止src,只是发送report ,如下。

const http = require('http')
const fs = require('fs')
const zlib = require('zlib')

http.createServer(function (request, response) {
    console.log('request come', request.url)

    if (request.url === '/') {
        const html = fs.readFileSync('test.html')
        response.writeHead(200, {
            'Content-Type': 'text/html',
            'Content-Security-Policy-Report-Only': 'default-src \'self\'; form-action \'self\'; report-uri /report'
            // 'Content-Security-Policy': 'default-src \'self\'; form-action \'self\'; report-uri /report'
            // 'Content-Security-Policy': 'default-src \'self\' https://cdn.bootcss.com/'
            // cannot inline js
            // 'Content-Security-Policy': 'default-src http: https:'
        })
        response.end(html)
    } else {
        response.writeHead(200, {
            'Content-Type': 'application/javascript'
        })
        response.end('console.log("loaded script")')
    }
    
    
}).listen(8888)

console.log('serve listening on 8888')

 

CSP:内容安全策略的前端深入解析
wujiayu31415的博客
07-29 1926
通过合理配置CSP策略,并利用报告模式进行测试和优化,可以显著提升Web应用的安全性,防范跨站脚本攻击等安全威胁。浏览器在加载和执行资源时,会根据这些指令进行严格的验证,只有符合规则的资源才会被加载和执行。在某些情况下,Web应用可能需要加载来自不同来源的内容,如iframe、嵌入的脚本或样式表等。:在报告模式下,CSP可以记录违反策略的行为,帮助开发者发现并修复潜在的安全问题,而不影响用户的正常访问。用于控制嵌入内容的来源等。:通过实施CSP,网站可以向用户展示其对安全性的重视,增强用户对网站的信任度。
CSP(Content Security Policy)策略---内容安全策略
weixin_43502666的博客
03-12 937
【代码】CSP(Content Security Policy)策略---内容安全策略。
httpCSP
weixin_33918114的博客
09-22 347
CSP 的概念 Content-Security-Policy 内容安全策略 让网站变得更加安全 详细资料 mdn csp 作用 限制资源获取 报告资源获取越权 限制方式 default-src限制全局 制定资源类型 资源类型 connect-src img-src font-src media-src frame-src script-src manifest-src style-src 一些案...
HTTP CSP详解
码小余の博客
08-18 5933
HTTP CSP详解 跨域脚本攻击 XSS 是最常见、危害最大的网页安全漏洞。 为了防止它们,要采取很多编程措施,非常麻烦。很多人提出,能不能根本上解决问题,浏览器自动禁止外部注入恶意脚本? 这就是"网页安全政策"(Content Security Policy,缩写 CSP)的来历。本文详细介绍如何使用 CSP 防止 XSS 攻击。 一、简介 CSP 的实质就是白名单制度,开发者明确告诉客户端,哪些外部资源可以加载和执行,等同于提供白名单。它的实现和执行全部由浏览器完成,开发者只需提供配置。 CSP
http内容安全策略Content Security Policy(CSP)
focus on security
08-24 6499
内容安全策略CSP是安全性的附加层,有助于检测和缓解某些类型的攻击,包括跨站点脚本(https://owasp.org/www-community/attacks/xss/)和数据注入攻击。这些攻击可用于从数据盗窃,站点损坏到恶意软件分发的所有方面。 CSP被设计为完全向后兼容(除CSP版本2,其中有在向后兼容性一些明确提到的不一致性)。不支持它的浏览器仍然可以与实现它的服务器一起使用,反之亦然:不支持CSP的浏览器只是忽略它,照常运行,默认为Web内容的标准同源策略。如果站点不提供CSP标头,则浏览器同
第十二章 CSP 中的 HTTP 请求 - CSP 运行时环境
yaoxin521123的博客
10-11 610
HTTPCSP
CSP
02-09
此外,理解CSPHTTP缓存、CDN等服务的交互也是必要的,以确保策略的正确传播和执行。 总的来说,掌握Java CSP是提高应用程序安全性的关键步骤,它可以帮助开发者构建出更安全的Web应用,有效防止各种安全威胁,...
CSP-J CSP-S NOIP 刷题(2020.02.01).pdf
12-18
### CSP-J/CSP-S/NOIP 刷题指南与知识点解析 #### 一、概述 本文档主要针对准备参加CSP-J/CSP-S/NOIP等计算机科学竞赛的学生,提供了详细的刷题策略与资源推荐。CSP-J/CSP-S是中国计算机学会主办的信息学奥林匹克...
JSON_csp_
10-02
它通过发送HTTPHTTPS响应头来定义这些策略,允许或禁止特定类型的网络请求。 在描述中提到的“树和图的遍历”,这通常是指在数据结构中解决复杂问题时采用的算法。在处理字符串匹配时,可能涉及到构建一个表示...
CSP防御
阳水平的博客
04-04 1074
转载:https://developer.mozilla.org/zh-CN/docs/Web/HTTP/CSP 内容安全策略 (CSP) 是一个额外的安全层,用于检测并削弱某些特定类型的攻击,包括跨站脚本 (XSS) 和数据注入攻击等。无论是数据盗取、网站内容污染还是散发恶意软件,这些攻击都是主要的手段。 CSP 被设计成完全向后兼容(除CSP2 在向后兼容有明确提及的不一致; 更多细节查...
内容安全策略(Content Security Policy)
热门推荐
wuhuimin521的博客
08-14 2万+
内容安全策略(Content Security Policy) 内容安全策略(Content Security Policy)是一种声明的安全机制,可以让网站运营者能够控制遵循CSP的用户代理(通常是浏览器)的行为。通过控制要启用哪些功能,以及从哪里下载内容,可以减少网站的攻击面。CSP的主要目的是防御跨站点脚本(cross-st...
HTTP-内容安全策略(CSP)详细
shiyidemingzij的博客
08-19 2445
内容安全策略(CSP),其核心思想十分简单:网站通过发送一个 CSP 头部,来告诉浏览器什么是被授权执行的与什么是需要被禁止的。其被誉为专门为解决XSS攻击而生的神器。 1.前言 内容安全策略 (CSP) 是一个额外的安全层,用于检测并削弱某些特定类型的攻击,包括跨站脚本 (XSS) 和数据注入攻击等。无论是数据盗取、网站内容污染还是散发恶意软件,这些攻击都是主要的手段。 CSP 被设计成完全向后兼容(除CSP2 在向后兼容有明确提及的不一致; 更多细节查看这里 章节1.1)。不支持CSP的浏览器也能
HTTP安全响应头--CSP(Content-Security-Policy)
最新发布
weixin_42451330的博客
09-25 2308
CSP(内容安全策略)是一种浏览器安全机制,通过白名单机制限制资源加载来源,防止XSS攻击、数据泄露等安全威胁。可通过HTTP头或HTML meta标签设置,常用指令包括script-src、style-src等控制各类资源加载。配置时需注意避免使用高风险指令如unsafe-inline,并建议先使用report-only模式测试。文中提供了Nginx、Tomcat和SpringBoot的配置示例,强调在生产前需验证配置以避免误杀合法资源。CSP能有效提升Web应用安全性,但需合理配置才能发挥最大作用。
HTTP 的内容安全策略(CSP
小秋博客
07-20 438
W3C的Content Security Policy,简称CSP。顾名思义,这个规范与内容安全有关,主要是用来定义页面可以加载哪些资源,减少XSS的发生。Chrome扩展已经引入了CSP,通过manifest.json中的content_security_policy字段来定义。一些现代浏览器也支持通过响应头来定义CSP。本文主要介绍如何通过响应头来使用CSP,Chrome扩展中CSP的使用可以...
Content Security Policy介绍
qdujunjie的专栏
03-03 1720
转自:http://www.2cto.com/Article/201307/230739.html 本文介绍的是W3C的Content Security Policy,简称CSP。顾名思义,这个规范与内容安全有关,主要是用来定义页面可以加载哪些资源,减少XSS的发生。 Chrome扩展已经引入了CSP,通过manifest.json中的content_secur
java windows csp https,CSP: block-all-mixed-content - HTTP 中文开发手册
weixin_39641257的博客
03-20 257
HTTP Content-Security-Policy(CSP)block-all-mixed-content指令可防止在使用 HTTPS 加载页面时使用 HTTP 加载任何资产。所有混合内容资源请求都被阻止,包括主动和被动混合内容。这也适用于 文档,确保整个页面都是免费的混合内容。upgrade-insecure-requests指令在之前被评估block-all-mixed-content,...
HTTP协议特性之CSP 指令——NodeJs版
Science Explorer
08-25 941
一、Content-Security-Policy HTTP 响应头 Content-Security-Policy 允许站点管理者在指定的页面控制用户代理的资源。除了少数例外,这条政策将极大地指定服务源 以及脚本端点。这将帮助防止跨站脚本攻击(Cross-Site Script) (XSS)....
关于HTTP中的CSP(Content-Security-Policy)内容安全策略
Wang的专栏
03-08 6215
关于HTTP中的CSPHTTP协议中为了使我们的网站足够的安全,经常要用到CSP(Content-Security-Policy)内容安全策略 CSP的作用 限制网站中资源的获取,以及请求发送到哪里 报告资源获取越权 CSP的限制方式 default-src限制全局和链接请求有关的东西 指定资源类型 connect-src manifest-src img-src font-src media-src style-src frame-src script-src 网页上和链接有关的…
第五十八章 CSP的常见问题 - HTTP请求失败
yaoxin521123的博客
11-26 1415
事件中调用它们,可以直接调用,也可以从onLoad中调用的JavaScript方法调用。如果没有收到超级事件错误,则说明配置正确,并且超级事件错误很可能是由编码错误引起的。通过调用用户定义的错误页来记录其他错误,用户可以在该页中添加自己的日志记录功能。如果在此日志中收到与自定义错误页面无关的内部错误,则可能是核心。在浏览器中,右键单击并查看页面的源代码。如果存在内部错误,如自定义错误页面中的错误,它将被记录到。包含错误的文件的编号显示在最初收到的错误消息中。,其中x是该例程在系列中的编号。
csp
08-26
### Content Security Policy 是什么? Content Security Policy(CSP)是一种增强网站安全性的机制,旨在检测并阻止网页加载非法资源,从而减轻跨站脚本攻击(XSS)和数据注入攻击的风险。通过定义哪些资源可以被加载和执行,CSP 可以有效防止恶意脚本的注入和运行,保护用户数据的安全性[^1]。 ### 如何配置 Content Security Policy? 配置 CSP 的核心方法是通过在 HTTP 响应头中添加 `Content-Security-Policy` 字段,以定义资源加载的规则。以下是一个典型的 CSP 配置示例: ```http Content-Security-Policy: default-src 'self'; script-src 'self' https://trusted-cdn.com; style-src 'self' https://trusted-styles.com; ``` - `default-src 'self'`:表示默认情况下,所有资源只能从当前域名加载。 - `script-src 'self' https://trusted-cdn.com`:表示脚本可以从当前域名和指定的 CDN 加载。 - `style-src 'self' https://trusted-styles.com`:表示样式文件可以从当前域名和指定的样式服务器加载。 除了基本的资源加载规则,CSP 还支持更复杂的配置,例如限制内联脚本的执行、指定报告违规行为的端点等。以下是一个更复杂的配置示例: ```http Content-Security-Policy: default-src 'self'; script-src 'self' https://trusted-cdn.com 'unsafe-inline'; report-uri /csp-violation-report-endpoint/; ``` 在这个示例中: - `'unsafe-inline'` 允许执行内联脚本(虽然不推荐,但在某些情况下可能需要)。 - `report-uri` 指定了一个端点,用于接收 CSP 违规行为的报告,便于进一步分析和调整策略。 ### 业务接入 CSP 的流程 1. **定义策略**:根据业务需求和安全要求,定义资源加载的策略,包括脚本、样式、图片等资源的来源限制。 2. **测试模式**:启用 CSP 的 `Content-Security-Policy-Report-Only` 模式,以便在不阻止资源加载的情况下收集违规报告,逐步调整策略。 3. **部署策略**:将最终的 CSP 策略部署到生产环境中,通过 `Content-Security-Policy` 响应头生效。 4. **监控与优化**:持续监控 CSP 违规报告,优化策略以确保安全性和功能性之间的平衡。 ### 相关问题 1. CSP 如何防止 XSS 攻击? 2. CSP 中的 `report-uri` 和 `report-to` 有什么区别? 3. 如何在开发环境中测试 CSP 策略? 4. CSP 支持哪些类型的资源限制? 5. CSP 与传统的 XSS 防护机制有何不同?
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值