Cara Dasar Keselamatan Kandungan (CSP) Berfungsi
Keliru dengan ralat seperti "Enggan menilai rentetan" dan "Enggan melaksanakan skrip sebaris "? Mari kita mendalami cara kerja Dasar Keselamatan Kandungan (CSP), langkah keselamatan penting yang melindungi daripada serangan XSS.
Konsep Asas
CSP mengehadkan tempat sumber boleh dimuatkan daripada, menghalang pelayar daripada mengambil data daripada sumber yang tidak dibenarkan. Dengan mentakrifkan sumber yang dibenarkan, CSP mengurangkan risiko suntikan kod berniat jahat.
Menambah Arahan CSP
CSP dilaksanakan menggunakan pengepala HTTP Content-Security-Policy, yang mengandungi arahan yang mentakrifkan asal dan dasar yang dibenarkan. Contoh mudah ialah:
<meta http-equiv="Content-Security-Policy" content="default-src 'self'; script-src 'self' https://example.com;">
Arahan
Arahan yang paling biasa termasuk:
Berbilang Sumber dan Arahan
Mengendalikan Protokol dan Port
Skrip dan Gaya Sebaris
Membenarkan 'eval()'
Makna 'Diri'
Mengatasi 'default-src *' Kerentanan
Walaupun membenarkan semua sumber (default-src *) mungkin kelihatan mudah, ia tidak selamat dan sebenarnya tidak membenarkan kandungan sebaris atau penilaian. Elakkan menggunakannya.
Atas ialah kandungan terperinci Bagaimanakah Dasar Keselamatan Kandungan (CSP) Menghalang Serangan XSS?. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!