Bagaimanakah Dasar Keselamatan Kandungan (CSP) Menghalang Serangan XSS?

Linda Hamilton
Lepaskan: 2024-11-11 14:06:03
asal
167 orang telah melayarinya

How Does Content Security Policy (CSP) Prevent XSS Attacks?

Cara Dasar Keselamatan Kandungan (CSP) Berfungsi

Keliru dengan ralat seperti "Enggan menilai rentetan" dan "Enggan melaksanakan skrip sebaris "? Mari kita mendalami cara kerja Dasar Keselamatan Kandungan (CSP), langkah keselamatan penting yang melindungi daripada serangan XSS.

Konsep Asas

CSP mengehadkan tempat sumber boleh dimuatkan daripada, menghalang pelayar daripada mengambil data daripada sumber yang tidak dibenarkan. Dengan mentakrifkan sumber yang dibenarkan, CSP mengurangkan risiko suntikan kod berniat jahat.

Menambah Arahan CSP

CSP dilaksanakan menggunakan pengepala HTTP Content-Security-Policy, yang mengandungi arahan yang mentakrifkan asal dan dasar yang dibenarkan. Contoh mudah ialah:

<meta http-equiv="Content-Security-Policy" content="default-src 'self'; script-src 'self' https://example.com;">
Salin selepas log masuk

Arahan

Arahan yang paling biasa termasuk:

  • default-src: Dasar lalai untuk semua sumber kecuali skrip, imej dan permintaan AJAX.
  • skrip-src: Mentakrifkan sah sumber untuk skrip.
  • style-src: Mentakrifkan sumber yang sah untuk stylesheet.
  • img-src: Mentakrifkan sumber yang sah untuk imej.
  • connect-src: Mentakrifkan sasaran yang sah untuk Permintaan AJAX, WebSockets, dan EventSource.

Berbilang Sumber dan Arahan

  • Benarkan berbilang sumber dengan menyenaraikannya sebagai senarai yang dipisahkan ruang dalam arahan, cth.: lalai- src 'self' https://example.com/js/.
  • Gunakan berbilang arahan dengan memisahkannya dengan koma bertitik dalam teg yang sama, cth.: content="default-src 'self'; script-src 'self'".

Mengendalikan Protokol dan Port

  • Tentukan port secara eksplisit dengan menambahkannya pada domain yang dibenarkan, cth.: default-src 'self' https://example.com:8080.
  • Benarkan semua port dengan menggunakan asterisk, cth.: default-src 'self' https://example.com:*.
  • Untuk membenarkan protokol fail, gunakan parameter sistem fail, cth: default-src 'self' sistem fail:.

Skrip dan Gaya Sebaris

  • Secara lalai, kandungan sebaris disekat. Untuk membenarkannya, gunakan parameter 'unsafe-inline', cth.: script-src 'unsafe-inline'.

Membenarkan 'eval()'

  • Gunakan parameter 'unsafe-eval' untuk membenarkan pelaksanaan 'eval()', mis.: script-src 'unsafe-eval'.

Makna 'Diri'

  • 'Diri' merujuk kepada sumber dengan protokol yang sama, hos, dan port sebagai halaman di mana dasar ditakrifkan.

Mengatasi 'default-src *' Kerentanan

Walaupun membenarkan semua sumber (default-src *) mungkin kelihatan mudah, ia tidak selamat dan sebenarnya tidak membenarkan kandungan sebaris atau penilaian. Elakkan menggunakannya.

Atas ialah kandungan terperinci Bagaimanakah Dasar Keselamatan Kandungan (CSP) Menghalang Serangan XSS?. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!

sumber:php.cn
Kenyataan Laman Web ini
Kandungan artikel ini disumbangkan secara sukarela oleh netizen, dan hak cipta adalah milik pengarang asal. Laman web ini tidak memikul tanggungjawab undang-undang yang sepadan. Jika anda menemui sebarang kandungan yang disyaki plagiarisme atau pelanggaran, sila hubungi admin@php.cn
Artikel terbaru oleh pengarang
Tutorial Popular
Lagi>
Muat turun terkini
Lagi>
kesan web
Kod sumber laman web
Bahan laman web
Templat hujung hadapan