Open zhiwenxuan opened 2 years ago
主要是配置网站各类资源来源的策略,以降低 Cross site Script(XSS) 攻击。
要配置的资源选项有:
script-src
base-uri
<base>
child-src
child-src https://youtube.com
frame-src
connect-src
font-src
font-src https://themes.googleusercontent.com
form-action
<form>
frame-ancestors
<frame>
<iframe>
<embed>
<applet>
<meta>
img-src
media-src
object-src
plugin-types
report-uri
style-src
upgrade-insecure-requests
default-src 可用来指定默认行为,但有选项没有配置时,可以使用 default-src。但是有以下几个选项不能用 default-src 但默认行为。如:
default-src
sandbox
更详细知识参考 https://developers.google.com/web/fundamentals/security/csp https://infosec.mozilla.org/guidelines/web_security#content-security-policy
https://observatory.mozilla.org/
Content Security Policy
主要是配置网站各类资源来源的策略,以降低 Cross site Script(XSS) 攻击。
要配置的资源选项有:
script-srcJavaScript 的来源base-uri用于限制可在页面的<base>元素中显示的网址。child-src用于列出适用于工作线程和嵌入的帧内容的网址。例如:child-src https://youtube.com将启用来自 YouTube(而非其他来源)的嵌入视频。 使用此指令替代已弃用的frame-src指令。connect-src用于限制可(通过 XHR、WebSockets 和 EventSource)连接的来源。font-src用于指定可提供网页字体的来源。Google 的网页字体可通过font-src https://themes.googleusercontent.com启用。form-action用于列出可从<form>标记提交的有效端点。frame-ancestors用于指定可嵌入当前页面的来源。此指令适用于<frame>、<iframe>、<embed>和<applet>标记。此指令不能在<meta>标记中使用,并仅适用于非 HTML 资源。frame-src已弃用。请改用child-src。img-src用于定义可从中加载图像的来源。media-src用于限制允许传输视频和音频的来源。object-src可对 Flash 和其他插件进行控制。plugin-types用于限制页面可以调用的插件种类。report-uri用于指定在违反内容安全政策时浏览器向其发送报告的网址。此指令不能用于<meta>标记。style-src是script-src版的样式表。upgrade-insecure-requests指示 User Agent 将 HTTP 更改为 HTTPS,重写网址架构。 该指令适用于具有大量旧网址(需要重写)的网站。default-src可用来指定默认行为,但有选项没有配置时,可以使用default-src。但是有以下几个选项不能用default-src但默认行为。如:base-uriform-actionframe-ancestorsplugin-typesreport-urisandbox更详细知识参考 https://developers.google.com/web/fundamentals/security/csp
https://infosec.mozilla.org/guidelines/web_security#content-security-policy
检测网站
https://observatory.mozilla.org/