Fonctionnement du CSP : un guide complet de la politique de sécurité du contenu
Introduction :
Contenu La politique de sécurité (CSP) est un mécanisme de sécurité puissant qui protège les sites Web contre le contenu malveillant et les attaques de scripts intersites (XSS). En définissant les sources à partir desquelles les navigateurs peuvent charger des ressources, CSP réduit efficacement le risque d'infiltration de contenu non fiable sur votre site Web.
Comprendre l'en-tête HTTP Content-Security-Policy :
La balise Content-Security-Policy se compose de directives qui spécifient des sources valides pour charger différents types de contenu. Chaque directive est suivie d'une liste de paramètres séparés par des espaces qui définissent les sources autorisées.
1. Autoriser plusieurs sources :
Pour autoriser plusieurs sources, répertoriez-les simplement après une directive :
content="default-src https://example1.com/js/ https://example2.com/js/"
2. Utilisation de différentes directives :
Les directives courantes incluent :
3. Combinaison de directives :
Plusieurs directives peuvent être combinées en une seule balise méta à l'aide de points-virgules :
content="default-src 'self' https://example.com/js/; style-src 'self'"
4. Gestion des ports :
Les ports non standard doivent être explicitement spécifiés :
content="default-src https://ajax.googleapis.com:443 https://example.com:123/free/stuff/"
5. Autoriser différents protocoles :
Les protocoles standard sont autorisés par défaut. Pour autoriser les protocoles non standard (par exemple, WebSockets), utilisez connect-src :
content="default-src 'self'; connect-src ws://"
6. Autoriser le protocole de fichier (file://) :
Utilisez le paramètre du système de fichiers :
content="default-src filesystem"
7. Autoriser les styles et les scripts en ligne :
Autoriser le contenu en ligne en utilisant unsafe-inline :
content="script-src 'unsafe-inline'; style-src 'unsafe-inline'"
8. Autoriser les évaluations :
Autoriser eval() nécessite le paramètre unsafe-eval :
content="script-src 'unsafe-eval'"
9. Signification de « soi » :
« soi » fait référence au même schéma, hôte et port que le fichier contenant la politique de contenu. Cela n'inclut pas les ressources de l'hôte local ou du système de fichiers local.
Danger de la directive Wildcard :
Bien que content="default-src *" puisse sembler un moyen pratique d'autoriser toutes les sources, il n'accorde pas implicitement d'autorisations pour l'inline ou les évaluations. Pour ouvrir entièrement votre site à tous les contenus, utilisez :
content="default-src * 'unsafe-inline' 'unsafe-eval'"
Conclusion :
CSP est un outil de sécurité puissant qui peut réduire considérablement le risque d'attaques XSS. En comprenant les différentes directives et paramètres, vous pouvez appliquer efficacement une politique de sécurité personnalisée pour votre site Web. Il est important de se rappeler que CSP ne doit pas être utilisé comme substitut à des pratiques de codage sécurisées, mais comme couche de protection supplémentaire contre les menaces potentielles.
Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!
![[Web front-end] Démarrage rapide de Node.js](https://img.php.cn/upload/course/000/000/067/662b5d34ba7c0227.png)
