【每日一題】系統(tǒng)安全之CSP（Content-Security-Policy）

CSP 本質(zhì)上就是建立白名單，開發(fā)者明確告訴瀏覽器哪些外部資源可以加載和執(zhí)行。我們只需要配置規(guī)則，如何攔截是由瀏覽器自己實(shí)現(xiàn)的。我們可以通過這種方式來盡量減少 xss 攻擊。

開啟 CSP

通常有兩種方式:

HTTP Header

設(shè)置 HTTP 首部中的Content-Security-Policy

meta

另一種是設(shè)置 meta 標(biāo)簽的方式

<meta http-equiv="Content-Security-Policy">

舉例

這里以設(shè)置 HTTP Header 來舉例子

只允許加載本站資源

Content-Security-Policy:default-src 'self'

只允許加載 HTTPS 協(xié)議圖片

Content-Security-Policy: img-src https://*

允許加載任何來源的框架

Content-Security-Policy: child-src 'none'

設(shè)置的屬性還有很多，更多設(shè)置屬性可以查看 MDN文檔(https://developer.mozilla.org/en-US/docs/Web/HTTP/CSP)

對(duì)于這種方式來說，只要開發(fā)者配置了正確的規(guī)則，那么即使網(wǎng)站存在漏洞，攻擊者也不能執(zhí)行它的攻擊代碼，并且 CSP 的兼容性也不錯(cuò)