759
Web 安全之內容安全策略 (CSP)
內容安全策略 (CSP, Content Security Policy) 是一個附加的安全層,用於幫助檢測和緩解某些類型的攻擊,包括跨站腳本攻擊 (XSS) 和數據注入等攻擊。
這些攻擊可用於實現從數據竊取到網站破壞或作為惡意軟件分發版本等用途。內容安全策略在現代瀏覽器中已經包含,使用的是 W3C CSP 1.0 標準中描述的 Content-Security-Policy 頭部和指令。
那麼如何應用?
CSP 可以由兩種方式指定:HTTP Header 和 HTML。HTTP 是在 HTTP 由增加 Header 來指定,而 HTML 級別則由 Meta 標簽指定。
CSP 有兩類:Content-Security-Policy 和 Content-Security-Policy-Report-Only。(大小寫無關)
HTTP header :
"Content-Security-Policy:" 策略
"Content-Security-Policy-Report-Only:" 策略
HTTP Content-Security-Policy 頭可以指定一個或多個資源是安全的,而Content-Security-Policy-Report-Only則是允許服務器檢查(非強製)一個策略。多個頭的策略定義由優先采用最先定義的。
HTML Meta :
<meta http-equiv="content-security-policy" content="策略">
<meta http-equiv="content-security-policy-report-only" content="策略">
Meta 標簽與 HTTP 頭隻是行式不同而作用是一致的。與 HTTP 頭一樣,優先采用最先定義的策略。如果 HTTP 頭與 Meta 定義同時存在,則優先采用 HTTP 中的定義。
如果用戶瀏覽器已經為當前文檔執行了一個 CSP 的策略,則會跳過 Meta 的定義。如果 META 標簽缺少 content 屬性也同樣會跳過。
針對開發者草案中特別的提示一點:為了使用策略生效,應該將 Meta 元素頭放在開始位置,以防止提高人為的 CSP 策略注入。
如今,多樣化的攻擊手段層出不窮,傳統安全解決方案越來越難以應對網絡安全攻擊。OneASP&utm_campaign=AspRaspArti&from=jswgiardnp) 自適應安全平台集成了預測、預防、檢測和響應的能力,為您提供精準、持續、可視化的安全防護。想閱讀更多技術文章,請訪問 OneAPM 官方技術博客&utm_campaign=AspRaspArti&from=jswgiardnp)
本文轉自 OneAPM 官方博客
最後更新:2017-04-01 13:51:26
上一篇:
看雲計算如何助力“雙十一”
下一篇: 互聯網+ 企業已全麵進入雲計算時代
- 2017雲棲大會·杭州峰會:《雲數據·大計算:海量日誌數據分析與應用》之《數據分析展現:可視化報表及嵌入應用》篇
- CCAI 2017 | 病人是否有生命危險?機器學習來告訴你——專訪南加州大學終身教授劉燕
- 如何把ResultSet轉換成Java對象
- 【Android開發】采用GET方法進行網絡傳值
- Greenplum有哪些限製?
- 科學家說「時間晶體」或真的存在
- 【雲棲大會】持續擁抱開源阿裏雲計算能力三大突破
- 《Linux From Scratch》第二部分:準備構建 第五章:構建臨時文件係統- 5.3. 通用編譯指南
- SQLSERVER存儲過程語法詳解
- Maven學習五之Nexus中各repository介紹