large_client_header_buffers21k; #add_header Content-Security-Policy"default-src 'self' https://a.cn:8822/ https://b.cn/ https://c.cn/ https://d.cn:8553/ 'unsafe-inline' 'unsafe-eval' blob: data:;"; add_header Strict-Transport-Security"max-age=63072000; includeSubdomains; preload";...
CSP是由单词 Content Security Policy 的首单词组成,CSP旨在减少(注意这里是减少而不是消灭)跨站脚本攻击...
'Content-Security-Policy': "default-src 'self'; script-src 'self'; img-src 'self' data:; font-src 'self'; style-src 'self' 'unsafe-inline'; object-src 'none'; frame-src 'self'", 'X-Content-Security-Policy': "default-src 'self'; script-src 'self'; img-src 'self' data:; ...
... 注意:由于html文档是从上至下进行解析,因此,meta尽量写在最前面,保证能够对所有资源请求进行约束。 效果 csp规则匹配到的资源都能够正常请求,一旦有非法资源请求,浏览器就会立即阻止,阻止的效果如下 定义规则 csp规则内容主要由指令和指令值这两部分构成,指令用于定义资源类型,指令值用于定义资源请求地址规则。 例...
可以指定允许加载图片的来源,例如:img-src 'self' data:,表示只允许从同源加载图片和Base64编码的图片。 2.5 media-src media-src参数用于控制媒体文件的加载。可以指定允许加载媒体文件的来源,例如:media-src 'self' example,表示只允许从同源和example加载媒体文件。 2.6 font-src font-src参数用于控制字体文件的...
(2)script-src 不能使用 unsafe-inline 关键字(除非伴随一个nonce值),也不能允许设置 data:URL。 下面是两个恶意攻击的例子。 1. 2. (3)必须特别注意 JSONP 的回调函数。 1. 2. 3. 上面的代码中,虽然加载的...
frame-src 'self' data: chrome-extension-resource:; font-src 'self' data: chrome-extension-resource:; media-src *; 在Chrome扩展中展示没在合法范围中的页面 如果需要引用没在合法范围中的资源,可以使用 webview标签 代替 iframe标签,必须指定 width、height 和 URL。
img-src 'self' data::允许从当前源和data URL加载图片。 如何设置Content-Security-Policy响应头 可以通过两种方式设置Content-Security-Policy响应头: 在HTTP响应头中添加: 在服务器端配置中,将Content-Security-Policy响应头添加到HTTP响应中。例如,在Nginx配置中,可以添加如下行: nginx add_header Content-Securit...
A CSP helps prevent various types of data injection attacks, such asSQL injectionsand code injections, by preventing the execution of malicious code. Control over resources With a CSP, website operators can control exactly which resources (scripts, styles, images, etc.) may be loaded from their...
Chrome扩展已经引入了CSP,通过manifest.json中的content_security_policy字段来定义。一些现代浏览器也支持通过响应头来定义CSP。下面我们主要介绍如何通过响应头来使用CSP,Chrome扩展中CSP的使用可以参考Chrome官方文档。 浏览器兼容性 早期的Chrome是通过X-WebKit-CSP响应头来支持CSP的,而firefox和IE则支持X-Content-Secur...