Wie schützt die Content Security Policy (CSP) Websites vor der Einschleusung von Schadcode?

Content Security Policy (CSP) verstehen

Häufig auftretende Fehler in der Entwicklerkonsole, wie z. B. „Refused to…“, sind eine Folge der Content Security Policy (CSP), eine Sicherheitsmaßnahme, die das Laden von Ressourcen aus nicht vertrauenswürdigen Quellen einschränkt.

Wie funktioniert CSP Arbeit?

Mit CSP können Sie steuern, woher Ressourcen geladen werden können. Zulässige Quellen definieren Sie durch Anweisungen im HTTP-Header Content-Security-Policy. Durch das Festlegen dieser Einschränkungen minimieren Sie das Risiko von Schadcode-Injektionen wie XSS-Angriffen.

Anweisungen

Zu den allgemeinen Anweisungen gehören:

• default-src: Standardrichtlinie für Laden verschiedener Ressourcen.
• script-src: Definiert gültige Quellen für JavaScript Dateien.
• style-src: Definiert gültige Quellen für CSS-Dateien.
• img-src: Definiert gültige Quellen für Bilder.
• connect-src: Definiert gültige Ziele für AJAX Anfragen oder WebSocket-Verbindungen.

Verwenden CSP

1. Mehrere Quellen zulassen:

content="default-src 'self' https://example.com/js/"

2. Definieren Sie mehrere Anweisungen:

content="default-src 'self' https://example.com/js/; style-src 'self'"

3. Umgang mit Häfen:

content="default-src 'self' https://example.com:123/free/stuff/"

4. Umgang mit verschiedenen Protokollen:

content="default-src 'self'; connect-src ws:; style-src 'self'"

5. Dateiprotokoll zulassen:

content="default-src filesystem"

6. Inline-Stile und Skripte:

content="script-src 'unsafe-inline'; style-src 'unsafe-inline'"

7. Erlaube eval():

content="script-src 'unsafe-eval'"

8. Bedeutung von „selbst“:
„selbst“ bezieht sich auf Quellen mit demselben Schema, demselben Host und demselben Port wie die Datei, in der die Richtlinie definiert ist.

9. Wildcard-Warnung:
Die Verwendung von content="default-src *" ist zwar verlockend, ermöglicht aber bestimmte riskante Aktionen wie das Zulassen von Inline-Skripten und eval(). Berücksichtigen Sie für eine echte Sicherheitslücke:

content="default-src * 'unsafe-inline' 'unsafe-eval'"

Ressourcen

• content-security-policy.com
• en.wikipedia.org/wiki/Content_Security_Policy

Das obige ist der detaillierte Inhalt vonWie schützt die Content Security Policy (CSP) Websites vor der Einschleusung von Schadcode?. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!