文档章节

Content-Security-Policy

kuqoi
 kuqoi
发布于 2014/10/21 11:46
字数 1018
阅读 23
收藏 0

本文介绍的是W3C的 Content Security Policy,简称CSP。 顾名思义,这个规范与内容安全有关,主要是用来定义页面可以加载哪些资源,减少XSS的发生。 Chrome扩展已经引入了CSP,通过manifest.json中的content_security_policy字段来定义。 一些现代浏览器也支持通过响应头来定义CSP。 下面我们主要介绍如何通过响应头来使用CSP,Chrome扩展中CSP的使用可以参考Chrome官方文档。

#浏览器兼容性 早期的Chrome是通过X-WebKit-CSP响应头来支持CSP的,而firefox和IE则支持X-Content-Security-Policy,Chrome25和Firefox23开始支持标准的的Content-Security-Policy,见下表。

<table> <thead><tr><th>响应头</th><th>Chrome</th><th>Firefox</th><th>Safari</th><th>IE</th></tr></thead> <tbody> <tr><td>`Content-Security-Policy` </td><td>`25+` </td><td>`23+` </td><td>`-` </td><td>`-`</td></tr> <tr><td>`X-Content-Security-Policy`</td><td>`-` </td><td>`4.0+` </td><td>`-` </td><td>`10.0(有限的)`</td></tr> <tr><td>`X-Webkit-CSP` </td><td>`14+` </td><td>`-` </td><td>`6+` </td><td>`-`</td></tr> </tbody> </table> 完整的浏览器CSP支持情况请移步 [CanIUse](http://caniuse.com/)。

#如何使用 要使用CSP,只需要服务端输出类似这样的响应头就行了:

Content-Security-Policy: default-src 'self'

default-src是CSP指令,多个指令之间用英文分号分割;'self'是指令值,多个指令值用英文空格分割。 目前,有这些CSP指令:

<table> <thead><tr><th>指令</th><th>指令值示例</th><th>说明</th></tr></thead> <tbody> <tr><td>`default-src` </td><td>`'self' cnd.a.com`</td><td>定义针对所有类型(js、image、css、web font,ajax请求,iframe,多媒体等)资源的默认加载策略,某类型资源如果没有单独定义策略,就使用默认的。</td></tr> <tr><td>`script-src` </td><td>`'self' js.a.com` </td><td>定义针对JavaScript的加载策略。</td></tr> <tr><td>`style-src` </td><td>`'self' css.a.com`</td><td>定义针对样式的加载策略。</td></tr> <tr><td>`img-src` </td><td>`'self' img.a.com`</td><td>定义针对图片的加载策略。</td></tr> <tr><td>`connect-src` </td><td>`'self'` </td><td>针对Ajax、WebSocket等请求的加载策略。不允许的情况下,浏览器会模拟一个状态为400的响应。</td></tr> <tr><td>`font-src` </td><td>`font.a.com` </td><td>针对Web Font的加载策略。</td></tr> <tr><td>`object-src` </td><td>`'self'` </td><td>针对`<object>`、`<embed>`或`<applet>`等标签引入的flash等插件的加载策略。</td></tr> <tr><td>`media-src` </td><td>`media.a.com` </td><td>针对`<audio>`或`<video>`等标签引入的html多媒体的加载策略。</td></tr> <tr><td>`frame-src` </td><td>`'self'` </td><td>针对frame的加载策略。</td></tr> <tr><td>`sandbox` </td><td>`allow-forms` </td><td>对请求的资源启用`sandbox`(类似于`iframe`的`sandbox`属性)。</td></tr> <tr><td>`report-uri` </td><td>`/report-uri` </td><td>告诉浏览器如果请求的资源不被策略允许时,往哪个地址提交日志信息。</td></tr> </tbody> </table> 特别的:如果只想让浏览器汇报日志,而不阻止任何内容。可以改用`Content-Security-Policy-Report-Only`响应头。

指令值可以由下面这些内容组成:

指令值 | 指令示例 | 说明 -|| * | img-src * | 允许任何内容。 'none' | img-src 'none' | 不允许任何内容。 'self' | img-src 'self' | 允许来自相同来源的内容(相同的协议、域名和端口)。 data | img-src data | 允许data:协议(例如base64编码的图片)。 www.a.com | img-src img.a.com | 允许加载指定域名的资源。 *.a.com | img-src *.a.com | 允许加载a.com任何子域的资源。 https://img.com | img-src https://img.com | 允许加载img.com的https资源(协议需匹配)。 https: | img-src https: | 允许加载https资源。 'unsafe-inline' | script-src 'unsafe-inline' | 允许加载inline资源(例如常见的style属性,onclickinline jsinline css等等)。 'unsafe-eval' | script-src 'unsafe-eval' | 允许加载动态js代码,例如eval()

从上面的介绍可以看到,CSP协议可以控制的内容非常多。而且如果不特别指定'unsafe-inline'时,页面上所有inline的样式和脚本都不会执行;不特别指定'unsafe-eval',页面上不允许使用new Function,setTimeout,eval等方式执行动态代码。在限制了页面资源来源之后,被XSS的风险确实小不少。

当然,仅仅依靠CSP来防范XSS是远远不够的,不支持全部浏览器是它的硬伤。不过,鉴于低廉的开发成本,加上也没什么坏处。如果担心影响面太大,也可以像下面这样,仅收集不匹配规则的日志,先观察下:

Content-Security-Policy-Report-Only: script-src 'self'; report-uri http://test/

这样,如果页面上有inline的JS,依然会执行,只是浏览器会向指定地址发送一个post请求,包含这样的信息:

{
  "csp-report":{
    "document-uri": "http://test/test.php",
    "referrer": "",
    "violated-directive": "script-src 'self'",
    "original-policy": "script-src 'self'; report-uri http://test/",
    "blocked-uri": ""
  }
}

CSP先介绍到这里。现代浏览器支持不少与安全有关的响应头,以后接着再介绍。

© 著作权归作者所有

kuqoi
粉丝 9
博文 18
码字总数 10497
作品 0
武汉
前端工程师
私信 提问
聊聊spring cloud gateway的SecureHeadersGatewayFilter

序 本文主要研究下spring cloud gateway的SecureHeadersGatewayFilter GatewayAutoConfiguration SecureHeadersProperties 配置项 实体类 spring-cloud-gateway-core-2.0.0.RC1-sources.jar!......

go4it
2018/06/04
0
0
Web 安全之内容安全策略 (CSP)

内容安全策略 (CSP, Content Security Policy) 是一个附加的安全层,用于帮助检测和缓解某些类型的攻击,包括跨站脚本攻击 (XSS) 和数据注入等攻击。 这些攻击可用于实现从数据窃取到网站破坏...

OneAPM蓝海讯通
2015/12/24
27
0
WEB应用内容安全策略(Content Security Policy)

内容安全策略(Content Security Policy)是什么?   内容安全策略(Content Security Policy)简称是由W3C小组定义的一项规范,其主要作用是提供一个额外的安全层,用于检测并削弱某些特定类型的...

玉鸯
02/20
0
0
react-loadable使用跳坑

官方给react-loadable的定义是: A higher order component for loading components with dynamic imports. 动态路由示例 withLoadable.js Root.js 1 style: security content policy报错 当......

pengqinmm
2018/06/25
0
0
Spring Security 4.1.0.RC1 发布,Spring 安全框架

Spring Security 4.1.0.RC1 发布了,Spring Security 的前身是 Acegi Security ,是 Spring 项目组中用来提供安全认证服务的框架。 更新日志: Path Variables in Web Security Expressions...

oschina
2016/03/25
1K
4

没有更多内容

加载失败,请刷新页面

加载更多

Jenkins系列_插件安装及报错处理

进入Jenkins之后我们可以进行插件的安装,插件管理位于以下模块: 发现上面报了一堆错误,是因为插件的依赖没有安装好,那么这一节,就先把这些错误解决掉吧。解决完成后,也就基本会使用插件...

shzwork
今天
2
0
mysql mysql的所有查询语句和聚合函数(整理一下,忘记了可以随时看看)

查询所有字段 select * from 表名; 查询自定字段 select 字段名 from 表名; 查询指定数据 select * from 表名 where 条件; 带关键字IN的查询 select * from 表名 where 条件 [not] in(元素...

edison_kwok
昨天
9
0
多线程同时加载缓存实现

import com.google.common.cache.Cache;import com.google.common.cache.CacheBuilder;import java.util.concurrent.ExecutionException;import java.util.concurrent.ExecutorServi......

暗中观察
昨天
3
0
利用VisualVM 内存查看

准备工作,建几个测试类。等下就是要查看这几个类里面的属性 package visualvm;public class MultiObject { private String str; private int i; MultiObject(String str...

冷基
昨天
2
0
组装一台工作游戏两用机

一、配置清单如下: 分类 项目 价格(元) 主板 华硕(ASUS)TUF Z370-PLUS GAMING II 电竞特工 Z370二代 支持9代CPU 1049 CPU 英特尔(Intel) i7 8700K 酷睿六核 盒装CPU处理器 2640 风扇 九...

mbzhong
昨天
4
0

没有更多内容

加载失败,请刷新页面

加载更多

返回顶部
顶部