一、簡介
CSP是網頁安全政策(Content Security Policy)的縮寫。是一種由開發者定義的安全性政策申明,通過CSP所約束的責任指定可信的內容來源,(內容可以是指腳本、圖片、style 等遠程資源)。通過CSP協定,可以防止XSS攻擊,讓web處一個安全運行的環境中。
CSP 的實質就是白名單制度,開發者明確告訴客戶端,哪些外部資源可以加載和執行,等同於提供白名單。它的實現和執行全部由瀏覽器完成,開發者只需提供配置。CSP 大大增強了網頁的安全性。攻擊者即使發現了漏洞,也沒法注入腳本,除非還控制了一台列入了白名單的可信主機。
二、開啟方式
一種是:通過 HTTP 頭信息的Content-Security-Policy的字段。
一種是:在網頁中設置<meta>標簽,如:
<meta http-equiv="Content-Security-Policy" content="script-src 'self'; object-src 'none'; style-src cdn.example.org third-party.org; child-src https:">
三、栗子
1、阻止加載不符合CSP的外部資源。
加載資源:
<script type="text/javascript" src="https://code.jquery.com/jquery-3.2.1.min.js"></script>
不開啟CSP時候可以正常加載js:
開啟之后:
<meta http-equiv="Content-Security-Policy" content="script-src 'self'; object-src 'none'; style-src cdn.example.org third-party.org; child-src https:">
2、script-src 的特殊值
'unsafe-inline':允許執行頁面內嵌的<script>標簽和事件監聽函數
'unsafe-eval':允許將字符串當作代碼執行,比如使用eval、setTimeout、setInterval等函數。
'nonce'值:每次HTTP回應給出一個授權token,頁面內嵌腳本必須有這個token,才會執行
'hash'值:列出允許執行的腳本代碼的Hash值,頁面內嵌腳本的哈希值只有吻合的情況下,才能執行
如:設置 'unsafe-inline' 'unsafe-eval'; 之后,可以執行如下
<img src="?" onerror="alert(1)">
<script type="text/javascript">
eval('setTimeout(function(){console.log(1);},1000)');
</script>
學習鏈接: