CSP----Content-Security-Policy 网页安全政策(防止xss 跨域脚本恶意攻击)

最新推荐文章于 2025-07-01 14:52:36 发布
最新推荐文章于 2025-07-01 14:52:36 发布
阅读量1.2k 收藏 1
点赞数
CC 4.0 BY-SA版权
分类专栏: http
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_41709082/article/details/95192943
博客介绍了CSP(Content-Security-Policy)网页安全政策,可防止xss跨域脚本恶意攻击。包括资源加载限制,如default-src规定资源加载条件;属性值、书写格式;script-src特殊值等内容,还强调了script-src和object-src设置的必要性及注意事项。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

CSP----Content-Security-Policy 网页安全政策(防止xss 跨域脚本恶意攻击)

1.资源加载限制:

  • 以下属性为限制指定 资源 的属性
    在这里插入图片描述
    default-src: 以上所有资源 都必须符合 条件 才会加载
    eg:
const http = require('http');  //用于创建 服务的 http模块
const fs = require('fs');  //用于读写文件的 模块标题
//使用 http 的 createServer 方法 创建 一个 服务   该方法 会返回 一个 新建的 http.Server 实例
http.createServer(function(request,response){  //回调 函数
       //一些 请求 的处理 和数据 的返回
    console.log('request start',request.url);

    if(request.url === '/index'){  //判断 若 请求 url 为 /test  则 进行 列 处理
        const html = fs.readFileSync('index.html','utf8'); // 异步读取  文件    并且 编码 为 utf-8

        /**此处还可以 进行 一些 其他的 操作   例如请求 限制  返回头 的 设置
         * **/
        response.writeHead(200,{
            'Content-Type':'text/html',
            'Content-Security-Policy':`default-src 'self';`
        });
        response.end(html);  //将 数据 发送 给 客户端
    }else{
        response.writeHead(200,{
            'Content-Type':'application/javascript',
        });
        response.end('console.log("loading script")'); // response.end() 方法 接收一个 字符串 参数
    }
}).listen(8000,function(){
    console.log('service is on port 8000');
}); //监听8000端口

此处设置了 所有 加载的资源 必须 只能 是 本域 发送的资源 (内嵌js 也不能 执行)

2.属性值:
在这里插入图片描述
以上为上述属性可选值。

3.书写格式

'Content-Security-Policy':"限制属性1   '属性值1'  '属性值2' ...; 限制属性2  ...... "
  • 多次写 同一 限制 属性 只有一个 会奏效

4.script-src 的特殊值
在这里插入图片描述

5.注意:

  • script-src 和 object-src 是毕设的 除非设置了 default-src。因为攻击者只要能注入脚本,其他限制都可以规避。而object-src必设是因为 Flash 里面可以执行外部脚本。
  • script-src 不能使用unsafe-inline关键字(除非伴随一个nonce值),也不能允许设置data:URL。面是两个恶意攻击的例子
<img src="x" onerror="evil()">
<script src="data:text/javascript,evil()"></script>

特别注意 jsonp 的回调函数

<script
src="/path/jsonp?callback=alert(document.domain)//">
</script>
《WEB安全渗透测试》(33)使用内容安全策略(content-security-policy)来防御XSS漏洞
午夜安全
11-22 1061
Content Security Policy,简称 CSP,即内容安全策略。它主要是用来定义哪些资源可以被当前页面加载,从而防御 XSS 和 CSRF 攻击。通过定义一套页面资源加载白名单规则,浏览器会使用csp规则去匹配所有资源,禁止加载不符合规则的资源,而且可以将非法资源请求进行上报。作为开发者只需要在服务端配置,明确告诉浏览器,哪些外部资源可以加载执行,其他工作浏览器自己完成。这样即使网站存在XSS漏洞,攻击者是无法注入脚本的,除非它可以控制可信的白名单主机,但这是不可能实现的。
Content Security Policy (CSP) 介绍
hyun134340的博客
01-07 554
这种平时常见的写法,也属于内联的脚本,是需要改造的。还有种特殊的指令 default-src,如果指定了它的值,则相当于改变了这些未指定的指令的默认值。可以理解为,上面 img-src 如果没指定,本来其默认值是 *,可以加载所有来源的图片,但设置 default-src 后,默认值就成了 default-src 指定的值。CSP 提供了一种报告模式,该模式下资源不会真的被限制加载,只会对检测到的问题进行上报 ,以 JSON 数据的形式发送到 report-uri 指定的地方。
web安全content-security-policy(简称csp)浏览器安全策略
TivonaLH的博客
01-11 4797
参考资料:https://www.cnblogs.com/heyuqing/p/6215761.html(csp简介) 中间件是tmcat,再过滤器中配置content-security-policy头 res.setHeader("Content-Security-Policy", "frame-ancestors'self'"); 参考资料:http://www.it1352.com/...
AppScan安全专项问题解决
m0_61869253的博客
06-24 2289
网络安全行业产业以来,随即新增加了几十个网络安全行业岗位︰网络安全专家、网络安全分析师、安全咨询师、网络安全工程师、安全架构师、安全运维工程师、渗透工程师、信息安全管理员、数据安全工程师、网络安全运营工程师、网络安全应急响应工程师、数据鉴定师、网络安全产品经理、网络安全服务工程师、网络安全培训师、网络安全审计员、威胁情报分析工程师、灾难恢复专业人员、实战攻防专业人员…随着个人能力的不断提升,所从事工作的职业价值也会随着自身经验的丰富以及项目运作的成熟,升值空间一路看涨,这也是为什么受大家欢迎的主要原因。
Electron 应用中的内容安全策略 (CSP) 全面指南
vvilkin的学习备忘
07-01 912
在现代 Web 开发中,安全性是至关重要的考虑因素。对于 Electron 这种结合了 Web 技术和本地应用功能的框架来说,内容安全策略 (Content Security Policy, CSP) 更是构建安全应用的关键防线。本文将深入探讨 Electron 中 CSP 的配置方法、最佳实践以及常见问题的解决方案。
使用CSP防止XSS攻击
weixin_30834019的博客
10-24 843
转载自阮一峰博客:http://www.ruanyifeng.com/blog/2016/09/csp.html 脚本攻击XSS是最常见、危害最大的网页安全漏洞。 为了防止它们,要采取很多编程措施,非常麻烦。很多人提出,能不能根本上解决问题,浏览器自动禁止外部注入恶意脚本? 这就是"网页安全政策"(Content Security Policy,缩写 CSP)的来历。本...
内容安全策略CSPContent-Security-Policy)解决XSS攻击
C++ 爱好者 make_it_simple888
11-25 1478
https://blog.youkuaiyun.com/u014465934/article/details/84199171
Vue进阶(三十三)Content-Security-PolicyCSP)详解
IT全栈 华强工作室
09-05 1万+
脚本攻击(XSS)是最常见、危害最大的网页安全漏洞。XSS 攻击利用了浏览器对于从服务器所获取的内容的信任。恶意脚本在受害者的浏览器中得以运行,因为浏览器信任其内容来源,即使有的时候这些脚本并非来自于它本该来的地方。为了防止它,要采取很多编程措施(比如大多数人都知道的转义、过滤HTML)。很多人提出,能不能根本上解决问题,即浏览器自动禁止外部注入恶意脚本?这就是"内容安全策略"(,缩写CSP)的由来。CSP
Nginx配置Http响应头安全策略_nginx content-security-policy
2301_82257383的博客
04-28 1450
但是有一些资源的类型是未定义或者定义错了,导致浏览器会猜测资源类型,尝试解析内容,从而给了脚本攻击可乘之机。用于控制网页在哪些框架中显示,控制页面是否可以用于ifram中,如果使用,是什么范围。注意:此配置会屏蔽范围外的脚本,如果是已经上线的系统,需要考虑下是否有引入外部脚本的情况,避免盲目增加配置,导致生产事故。当用户在浏览器上点击一个链接时,会产生一个 HTTP 请求,用于获取新的页面内容,而在该请求的报头中包含一个。,可以使用以下代码:注意,这里的引号是必需的,因为选项值中包含了空格。
web--xss:web安全xss攻击、以及如何防范
05-18
4. Content Security Policy (CSP):通过设置CSP头部,限制页面可以执行的脚本、加载的资源,进一步防止XSS攻击。 5. HTTP-only Cookie:将敏感的Cookie标记为HTTP-only,这样JavaScript就无法访问,降低了通过XSS...
DOM-XSS漏洞挖掘与攻击面全面解析
为了防御DOM-XSS,开发者应谨慎处理用户输入,对HTML元素进行适当的编码和验证,同时利用Content Security PolicyCSP)来限制执行来源和类型。在现代Web开发中,源策略(CORS)、同源策略和沙箱模式也是防止DOM-...
xss-vuln学习通关总结
08-24
XSS漏洞详解】 ...以上仅为部分基础概念,实际的XSS防护需要结合多种策略,包括但不限于输入验证、输出编码、安全配置、内容安全策略(Content Security Policy, CSP)等,以确保Web应用的安全性。
fastapi websocket中间间 处理Content-Security-Policy (CSP)链接问题
最新发布
08-01
首先,用户的问题是关于在FastAPI中使用WebSocket中间件时,处理Content-Security-Policy (CSP)导致的链接问题。具体来说,CSP可能阻止WebSocket连接,因为CSP默认只允许同源的连接,而WebSocket连接可能被视为外部...
内容安全策略(Content Security PolicyCSP
AiENG_07的博客
10-16 681
CSP是一组浏览器安全标头的规范,通过这些标头,网站所有者可以告诉浏览器哪些资源可以加载并执行,以及哪些不可以。这有助于防止恶意脚本的注入,因为浏览器将拒绝加载不符合CSP规则的内容。内容安全策略(Content Security PolicyCSP)是一个重要的安全机制,用于帮助保护网站免受恶意攻击脚本XSS)等安全威胁。总之,CSP是一个有助于提高网站安全性的重要工具,但需要谨慎配置和管理,以确保安全性与功能之间的平衡。
内容安全策略(Content Security Policy
热门推荐
wuhuimin521的博客
08-14 2万+
内容安全策略(Content Security Policy) 内容安全策略(Content Security Policy)是一种声明的安全机制,可以让网站运营者能够控制遵循CSP的用户代理(通常是浏览器)的行为。通过控制要启用哪些功能,以及从哪里下载内容,可以减少网站的攻击面。CSP的主要目的是防御站点脚本(cross-st...
Nginx的Content Security Policy通行设置
静宁宇思
04-02 6588
Nginx的Content Security Policy通行设置 发表于2019年06月08日 日志 更新于 2019年06月09日 13:09:56 下午 场景描述 A站点HTTPS,A站点做为中心站,引用B/C/D/E/F……站点的资源进行供给,确定的只有A站点是HTTPS,其它站点可能是HTTP也可能是HTTPS,文件类型不限定,包括但不限于:CSS,JS,IMAGE,MP4,MP3,RAR,ZIP,M3U8,FLV……。 如果你使用的是默认配置,那么它会提示以下错误: ...
http内容安全策略Content Security Policy(CSP)
focus on security
08-24 6353
内容安全策略CSP安全性的附加层,有助于检测和缓解某些类型的攻击,包括站点脚本(https://owasp.org/www-community/attacks/xss/)和数据注入攻击。这些攻击可用于从数据盗窃,站点损坏到恶意软件分发的所有方面。 CSP被设计为完全向后兼容(除CSP版本2,其中有在向后兼容性一些明确提到的不一致性)。不支持它的浏览器仍然可以与实现它的服务器一起使用,反之亦然:不支持CSP的浏览器只是忽略它,照常运行,默认为Web内容的标准同源策略。如果站点不提供CSP标头,则浏览器同
WEB应用内容安全策略(Content Security Policy)
A_991128a的博客
01-15 4764
它通过让开发者对自己WEB应用声明一个外部资源加载的白名单,使得客户端在运行WEB应用时对外部资源的加载做出筛选和识别,只加载被允许的网站资源.对于不被允许的网站资源不予加载和执行.同时,还可以将WEB应用中出现的不被允许的资源链接和详情报告给我们指定的网址.如此,大大增强了WEB应用的安全性.使得攻击者即使发现了漏洞,也没法注入脚本,除非还控制了一台列入了白名单的服务器.使用这种模式,将会直接阻止非法的外部资源加载,同时也可以选择是否配置将非法资源加载的链接和行为报告给我们指定的网址。
Content Security Policy
weixin_41584401的博客
02-26 1209
今天做手机Apace Cordova遇到这样一个问题:刚开始看了吓一跳,这是什么鬼,然后,百度了一下,发现是这个网页为了防止其他脚本攻击造成的。解决方案:就是把脚本放在外面即可。不要写在这个页面里。原因详细解剖:    &lt;meta http-equiv="content-security-policy" content="default-src 'self' data: gap: htt...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值