コンテンツセキュリティポリシー (CSP) は XSS 攻撃をどのように防止しますか?-jsチュートリアル-php.cn

ホームページ

ウェブフロントエンド

jsチュートリアル

コンテンツセキュリティポリシー (CSP) は XSS 攻撃をどのように防止しますか?

Linda Hamilton

Nov 11, 2024 pm 02:06 PM

How Does Content Security Policy (CSP) Prevent XSS Attacks?

コンテンツセキュリティポリシー (CSP) の仕組み

「文字列の評価が拒否されました」や「インラインスクリプトの実行が拒否されました」などのエラーによって混乱する「？ XSS 攻撃から保護する重要なセキュリティ対策であるコンテンツセキュリティポリシー (CSP) の仕組みを詳しく見てみましょう。

基本概念

CSP はリソースをロードできる場所を制限しますを防止し、ブラウザが不正なソースからデータを取得するのを防ぎます。許可されたソースを定義することで、CSP は悪意のあるコードインジェクションのリスクを軽減します。

CSP ディレクティブの追加

CSP は、Content-Security-Policy HTTP ヘッダーを使用して実装されます。許可されるオリジンとポリシーを定義するディレクティブが含まれています。簡単な例は次のとおりです。

<meta http-equiv="Content-Security-Policy" content="default-src 'self'; script-src 'self' https://example.com;">

ログイン後にコピー

ディレクティブ

最も一般的なディレクティブは次のとおりです。

default-src: のデフォルトポリシースクリプト、イメージ、AJAX を除くすべてのリソースrequest.
script-src: スクリプトの有効なソースを定義します。
style-src: スタイルシートの有効なソースを定義します。
img-src: 画像の有効なソースを定義します。
connect-src: AJAX リクエスト、WebSocket、およびEventSource.

複数のソースとディレクティブ

ディレクティブ内でスペース区切りのリストとしてリストすることで複数のソースを許可します。例:default- src 'self' https://example.com/js/.
複数使用ディレクティブは、同じタグ内でセミコロンで区切って指定します (例: content="default-src 'self'; script-src 'self'")。

プロトコルとポートの処理

許可されたドメインにポートを追加して明示的に指定します。例:default-src 'self' https://example.com:8080.
アスタリスクを使用してすべてのポートを許可します (例:default-src 'self' https://example.com:*)。
ファイルプロトコルを許可するには、ファイルシステムパラメータを使用します。例:default-src 'self'ファイルシステム:.

インラインスクリプトとスタイル

デフォルトでは、インラインコンテンツはブロックされています。これを許可するには、「unsafe-inline」パラメータを使用します。例: script-src 'unsafe-inline'.

Allowing 'eval()'

「unsafe-eval」パラメータを使用して「eval()」の実行を許可します。例: script-src 'unsafe-eval'.

'Self' 意味

'Self' は同じプロトコルのリソースを指します。ポリシーが存在するページとしてのホストとポート

「default-src *」脆弱性への対処

すべてのソース (default-src *) を許可するのは便利そうに見えますが、安全ではなく、実際には許可されません。実際にはインラインコンテンツや評価は許可されていません。使用は避けてください。

以上がコンテンツセキュリティポリシー (CSP) は XSS 攻撃をどのように防止しますか?の詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。

このウェブサイトの声明

この記事の内容はネチズンが自主的に寄稿したものであり、著作権は原著者に帰属します。このサイトは、それに相当する法的責任を負いません。盗作または侵害の疑いのあるコンテンツを見つけた場合は、admin@php.cn までご連絡ください。

ホットAIツール

Video Face Swap

完全無料の AI 顔交換ツールを使用して、あらゆるビデオの顔を簡単に交換できます。

ホットツール

ホットトピック

Gmailメールのログイン入り口はどこですか？

7892

Java チュートリアル

1651

CakePHP チュートリアル

1411

Laravel チュートリアル

1302

PHP チュートリアル

1248

Related knowledge

フロントエンドのサーマルペーパーレシートのために文字化けしたコード印刷に遭遇した場合はどうすればよいですか？ Apr 04, 2025 pm 02:42 PM

フロントエンドのサーマルペーパーチケット印刷のためのよくある質問とソリューションフロントエンド開発におけるチケット印刷は、一般的な要件です。しかし、多くの開発者が実装しています...

javascriptの分解：それが何をするのか、なぜそれが重要なのか Apr 09, 2025 am 12:07 AM

JavaScriptは現代のWeb開発の基礎であり、その主な機能には、イベント駆動型のプログラミング、動的コンテンツ生成、非同期プログラミングが含まれます。 1）イベント駆動型プログラミングにより、Webページはユーザー操作に応じて動的に変更できます。 2）動的コンテンツ生成により、条件に応じてページコンテンツを調整できます。 3）非同期プログラミングにより、ユーザーインターフェイスがブロックされないようにします。 JavaScriptは、Webインタラクション、シングルページアプリケーション、サーバー側の開発で広く使用されており、ユーザーエクスペリエンスとクロスプラットフォーム開発の柔軟性を大幅に改善しています。

誰がより多くのPythonまたはJavaScriptを支払われますか？ Apr 04, 2025 am 12:09 AM

スキルや業界のニーズに応じて、PythonおよびJavaScript開発者には絶対的な給与はありません。 1. Pythonは、データサイエンスと機械学習でさらに支払われる場合があります。 2。JavaScriptは、フロントエンドとフルスタックの開発に大きな需要があり、その給与もかなりです。 3。影響要因には、経験、地理的位置、会社の規模、特定のスキルが含まれます。

Shiseidoの公式Webサイトのように、視差スクロールと要素のアニメーション効果を実現する方法は？または： Shiseidoの公式Webサイトのようにスクロールするページを伴うアニメーション効果をどのように実現できますか？ Apr 04, 2025 pm 05:36 PM

この記事の視差スクロールと要素のアニメーション効果の実現に関する議論では、Shiseidoの公式ウェブサイト（https://www.shisido.co.co.jp/sb/wonderland/）と同様の達成方法について説明します。

JavaScriptは学ぶのが難しいですか？ Apr 03, 2025 am 12:20 AM

JavaScriptを学ぶことは難しくありませんが、挑戦的です。 1）変数、データ型、関数などの基本概念を理解します。2）非同期プログラミングをマスターし、イベントループを通じて実装します。 3）DOM操作を使用し、非同期リクエストを処理することを約束します。 4）一般的な間違いを避け、デバッグテクニックを使用します。 5）パフォーマンスを最適化し、ベストプラクティスに従ってください。

JavaScriptの進化：現在の傾向と将来の見通し Apr 10, 2025 am 09:33 AM

JavaScriptの最新トレンドには、TypeScriptの台頭、最新のフレームワークとライブラリの人気、WebAssemblyの適用が含まれます。将来の見通しは、より強力なタイプシステム、サーバー側のJavaScriptの開発、人工知能と機械学習の拡大、およびIoTおよびEDGEコンピューティングの可能性をカバーしています。