代码语言:javascript 复制 Content-Security-Policy:default-src https:;report-uri/csp-violation-report-endpoint/ /csp-violation-report-endpoint/例如可以运行一个如下所示的PHP,它记录详细说明违规的JSON,并且如果该违规是第一个添加到日志文件的违规,则向管理员发送一封电子邮件: 代码语言:javascript 复制 <?php/...
然而,CSP 的两个特性将这个问题变得相当的简单。 report-uri 还记得 CSP 发送到终端中的那些通知么?report-uri指令可以被用来告诉浏览器发送那些通知到指定的地址。报告以 JSON 格式送出。 report-uri/csp-parser.php; 因此,我们可以在 csp-parser.php 文件中处理有浏览器送出的数据。这里有一个由 PHP 实现的...
frame-src ,“self” ,针对frame的加载策略 report-uri, /report-uri ,告诉浏览器如果请求的资源不被策略允许时,往哪个地址提交日志信息。 特别的:如果想让浏览器只汇报日志,不阻止任何内容,可以改用 Content-Security-Policy-Report-Only 头 5.2 其他的CSP指令 sandbox 设置沙盒环境 child-src 主要防御 frame,ifr...
allow-presentation, allow-popup -to-escape-sandbox和allow-top-navigation report-uri指令:指示浏览器将策略失败的报告发送到此URI。还可以使用Content-Security-Policy-Report-Only作为HTTP头名称,指示浏览器只发送报告(不阻止任何内容)。 该指令在CSP Level 3中已被弃用,取而代之的是报告指令。 child-src指令:为...
报告已发送到report-uri,后台打开终端可看到报告详细信息: 在其他地方使用 html 的 meta 标签也可以配置 CSP 写法如上,将http-equiv属性设置为Content-Security-Policy指令则写在content属性中即可 在代理服务器 nginx 中使用 在nginx 中使用add_header增加 http 头,下面是个例子: ...
对于网站管理员来说CSP的一个强大功能是它可以产生试图攻击你网站的分析报告。你可以用report-uri指令使浏览器发送HTTP POST请求把攻击报告以JSON格式传送到你指定的地址。接下来给大家介绍你的站点如何配置来接收攻击报告。 1. 启用报告 默认情况下,违规报告不会发送。为了能使用违规报告,你必须使用report-uri指令,并...
您可能会遇到一个网站,该网站将输入反映到实际策略中,最有可能在指令中。如果站点反映的是您可以控制的参数,则可以注入分号来添加自己的 CSP 指令。通常,此指令是列表中的最后一个指令。这意味着您需要覆盖现有指令才能利用此漏洞并绕过该策略。report-urireport-uri ...
不过浏览器在发送这个report包的时候是不带cookie的,所以服务器那边并不能直接判断是哪个用户发送的report包,所以我们在report的GET参数里带上用户的session id。 示例代码如下: <?phpsession_start();$ssid=session_id();header("Content-Security-Policy:img-src https://my.alipay.com; report-uri report.php...
report-uri // 请求策略不被允许时,提交日志的地址 复制代码 1. 2. 3. 4. 5. 6. 7. 8. 9. 10. 11. 12. 13. 14. /** * 指令值 */ 空// 不做限制 'none' // 不允许任何内容 'self' // 允许同源(协议/域名/端口) data // data协议,如base64的图片 ...
目前阶段,一般使用report-uri上报,用法是后面接上上报地址。report-to是另一个上报指令,功能更丰富,使用方式稍微麻烦一点 代码语言:javascript 代码运行次数:0 运行 AI代码解释 Content-Security-Policy:report-uri https://a.b.c/report Content-Security-Policy:report-uri/current_page_report ...