前端内容安全策略(csp)

InfoQ 2022-05-14 11:48:57 阅读数:831

前端安全内容策略安全策略
指令就是csp中用来定义策略的基本单位,我们可以使用单个或者多个指令来组合作用,功能防护我们的网站.

以下是常用的指令说明:

null
[](()指令值

======================================================================

所有以-src结尾的指令都可以用一下的值来定义过滤规则,多个规则之间可以用空格来隔开

null
[](()如何使用

======================= 
《大厂前端面试题解析+Web核心总结学习笔记+企业项目实战源码+最新高清讲解视频》无偿开源 徽信搜索公众号【编程进阶路】
 ================================================

[](()1、HTTP Header



通过 HTTP Header来定义 :

“Content-Security-Policy:” 策略集

[](()2、 通过 html meta标签使用



<meta http-equiv=&quot;content-security-policy&quot; content=&quot;策略集&quot;>

如果http header头设置了csp 浏览器会优先使用http header设置的csp策略

[](()示例

=====================================================================

多个资源时,后面的会覆盖前面的

每一条策略都是都是由指令和指令值组成

script-src ‘self’ www.google-analytics.com ajax.googleapis.com;

允许同源以及两个地址下的js加载

default-src ‘none’; script-src ‘self’; connect-src ‘self’; img-src ‘self’; style-src ‘self’;

Content-Security-Policy:default-src ‘self’;

策略与策略之间用分号隔开

Content-Security-Policy:default-src ‘self’;script-src ‘www.a.com’

[](()csp 默认特性

===========================================================================

  • CSP除了使用白名单机制外,默认配置下阻止内联代码执行是防止内容注入的最大安全保障.这里的内联代码包括:
    <script>
    块内容,内联事件,内联样式。
版权声明:本文为[InfoQ]所创,转载请带上原文链接,感谢。 https://xie.infoq.cn/article/d44a4589fbc559e5d0beced87