CSP(内容安全策略)

内容安全策略 (CSP) 是一个额外的安全层,用于检测并削弱某些特定类型的攻击,包括跨站脚本 (XSS) 和数据注入攻击等。无论是数据盗取、网站内容污染还是散发恶意软件,这些攻击都是主要的手段。

限制方式

  • Content-Security-Policy: ‘default-src’

资源类型

'Content-Security-Policy': 'script-src \'self\'; form-action \'self\'; report-uri / report

示例1:

1
2
3
4
5
6
7
<body>
    <script>
        console.log('123')
    </script>
    <script src='./hello.js'></script>
    <script src="https://www.baidu.com"></script>
</body>
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
// server.js
const http = require('http');
const fs = require('fs');

http.createServer(function (req, res) {
    if (req.url === '/') {
        const html = fs.readFileSync('index.html', 'utf-8');
        res.writeHead(200, {
            'Content-Type': 'text/html',
            'Content-Security-Policy': 'default-src http: https:'
        });
        res.end(html);
    } else {
        //加载hello.js文件
        res.writeHead(200, {
            'Content-Type': 'text/javascript',
        });
        res.end('console.log("Simple rush b")');
    }
}).listen(8888);
console.log('server start at http://127.0.0.1:8888')

csp2
csp1
翻译如下:

拒绝执行内联脚本,因为它违反了以下内容安全策略指令:“default src http:https:”。启用内联执行需要'unsafe inline'关键字、哈希(’sha256-xJp4geNUJc5rDVZYqTCUjlJPY+PLCwP17ykLBIxZjH8=’)或nonce(’nonce-…’)。另外请注意,没有显式设置“script src”,因此使用“default src”作为回退。

现在我们修改server.js内容=>我们不想让https/http加载,只想让hello.js加载,我们需要加self

1
2
3
4
5
6
7
8
9
// server.js
if (req.url === '/') {
    const html = fs.readFileSync('index.html', 'utf-8');
    res.writeHead(200, {
        'Content-Type': 'text/html',
        'Content-Security-Policy': 'default-src \'self\''
    });
    res.end(html);
}

csp3
我们这时候可以在self后再加上www.baidu.com就可以加载https://www.baidu.com了

1
2
3
4
5
//server.js
res.writeHead(200, {
    'Content-Type': 'text/html',
    'Content-Security-Policy': 'default-src \'self\' www.baidu.com'
});

示例2:report-uri / report

我们来试试report-uri / report

1
2
3
4
5
6
7
8
9
//server.js
if (req.url === '/') {
    const html = fs.readFileSync('index.html', 'utf-8');
    res.writeHead(200, {
        'Content-Type': 'text/html',
        'Content-Security-Policy': 'default-src \'self\'; report-uri / report'
    });
    res.end(html);
}

csp4
csp5
csp6

不仅仅可以在服务器端设置,我们也可以在html中设置

1
2
<!-- index.html -->
<meta http-equiv="Content-Security-Policy" content="default-src 'self'; report-uri / report">

扫一扫,分享到微信

微信分享二维码

tag:

    缺失模块。
    1、请确保node版本大于6.2
    2、在博客根目录(注意不是yilia根目录)执行以下命令:
    npm i hexo-generator-json-content --save

    3、在根目录_config.yml里添加配置: 

      jsonContent:
    meta: false
    pages: false
    posts:
      title: true
      date: true
      path: true
      text: false
      raw: false
      content: false
      slug: false
      updated: false
      comments: false
      link: false
      permalink: false
      excerpt: false
      categories: false
      tags: true

勤奋的代码搬运工<br>一位刚出来实习的前端程序员<br>谢谢大家