開啟CSP網頁安全政策防止XSS攻擊

標籤：script   使用   inter   text   community   tps   out   min   org   

 一、簡介　　CSP是網頁安全政策(Content Security Policy)的縮寫。是一種由開發人員定義的安全性政策申明，通過CSP所約束的責任指定可信的內容來源，（內容可以是指指令碼、圖片、style 等遠端資源）。通過CSP協定，可以防止XSS攻擊，讓web處一個安全啟動並執行環境中。       CSP 的實質就是白名單制度，開發人員明確告訴用戶端，哪些外部資源可以載入和執行，等同於提供白名單。它的實現和執行全部由瀏覽器完成，開發人員只需提供配置。CSP 大大增強了網頁的安全性。攻擊者即使發現了漏洞，也沒法注入指令碼，除非還控制了一台列入了白名單的可信主機。
  二、開啟方式　　一種是：通過 HTTP 頭資訊的Content-Security-Policy的欄位。　　一種是：在網頁中設定<meta>標籤，如：

 <meta http-equiv="Content-Security-Policy" content="script-src ‘self‘; object-src ‘none‘; style-src cdn.example.org third-party.org; child-src https:">

 

三、栗子

1、阻止載入不符合CSP的外部資源。

載入資源：

<script type="text/javascript" src="https://code.jquery.com/jquery-3.2.1.min.js"></script>　　

不開啟CSP時候可以正常載入js：

開啟之後：

<meta http-equiv="Content-Security-Policy" content="script-src ‘self‘; object-src ‘none‘; style-src cdn.example.org third-party.org; child-src https:">

 

2、script-src 的特殊值

‘unsafe-inline‘：允許執行頁面內嵌的<script>標籤和事件監聽函數
‘unsafe-eval‘：允許將字串當作代碼執行，比如使用eval、setTimeout、setInterval等函數。
‘nonce‘值：每次HTTP回應給出一個授權token，頁面內嵌指令碼必須有這個token，才會執行
‘hash‘值：列出允許執行的指令碼代碼的Hash值，頁面內嵌指令碼的雜湊值只有吻合的情況下，才能執行

 

如：設定  ‘unsafe-inline‘ ‘unsafe-eval‘; 之後，可以執行如下

<img src="?" onerror="alert(1)"><script type="text/javascript">    eval(‘setTimeout(function(){console.log(1);},1000)‘);</script>    

 

學習連結：　　

阿里聚安全

 

 

 

開啟CSP網頁安全政策防止XSS攻擊