Apakah Dasar Keselamatan Kandungan (CSP) dan Bagaimana Ia Berfungsi?

Memahami Dasar Keselamatan Kandungan (CSP)

Pengenalan

Dasar Keselamatan Kandungan (CSP) ialah mekanisme keselamatan yang berkuasa yang membolehkan pembangun web menentukan sumber yang dibenarkan untuk memuatkan sumber di tapak web mereka. Dengan mengehadkan asal sumber, CSP membantu melindungi daripada pelbagai serangan, seperti Skrip Merentas Tapak (XSS) dan exfiltration data.

Cara CSP Berfungsi

CSP ialah dilaksanakan melalui teg meta dalam pengepala HTML halaman web. Kandungan teg meta ini mengandungi arahan yang mentakrifkan sumber yang dibenarkan untuk memuatkan sumber. Arahan ini biasanya menyatakan perkara berikut:

• Sumber asal: Domain atau hos dari mana sumber boleh dimuatkan.
• Protokol: Protokol rangkaian dibenarkan untuk memuatkan sumber (cth., HTTP atau HTTPS).
• Port: Nombor port yang dibenarkan untuk memuatkan sumber.
• Jenis sumber: Jenis sumber tertentu, seperti skrip, helaian gaya, imej atau permintaan AJAX.

Menggunakan Pengepala Kandungan-Keselamatan-Dasar

Sintaks asas pengepala HTTP Kandungan-Keselamatan-Dasar adalah seperti berikut:

<meta http-equiv="Content-Security-Policy" content="directives">

Menjawab Soalan Khusus

1. Membenarkan Berbilang Sumber:

Untuk membenarkan berbilang sumber, cuma asingkan sumber tersebut dengan ruang dalam sifat kandungan:

content="default-src 'self' https://example.com/js/"

2. Menggunakan Arahan Berbeza:

Setiap arahan menentukan jenis sumber tertentu. Arahan biasa termasuk:

• default-src: Dasar lalai untuk semua sumber
• script-src: Sumber yang sah untuk fail JavaScript
• style-src: Sumber yang sah untuk Fail CSS
• img-src: Sumber yang sah untuk imej

3. Menggunakan Berbilang Arahan:

Berbilang arahan boleh digunakan dengan memisahkannya dengan koma bertitik (;):

content="default-src 'self'; style-src 'self'"

4. Mengendalikan Pelabuhan:

Pelabuhan mesti dibenarkan dengan jelas:

content="default-src 'self' https://example.com:123/"

5. Mengendalikan Protokol Berbeza:

Protokol selain HTTP/HTTPS mesti dibenarkan dengan jelas:

content="connect-src ws:;"

6. Membenarkan Protokol Fail:

Membenarkan protokol fail:// memerlukan menggunakan parameter sistem fail:

content="default-src filesystem"

7. Membenarkan Gaya Sebaris dan Skrip:

Untuk membenarkan kandungan sebaris, gunakan sebaris tidak selamat:

content="script-src 'unsafe-inline'; style-src 'unsafe-inline'"

8. Membenarkan eval():

Untuk membenarkan eval(), gunakan unsafe-eval:

content="script-src 'unsafe-eval'"

9. Maksud 'diri':

'diri' merujuk kepada sumber yang berasal daripada skim, hos dan port yang sama sebagai halaman tempat dasar CSP ditakrifkan.

Kesimpulan

CSP ialah langkah keselamatan yang berkuasa yang boleh melindungi tapak web daripada kelemahan dengan menyekat sumber sumber yang dimuatkan. Memahami dan melaksanakan dasar CSP dengan teliti adalah penting untuk memastikan integriti dan keselamatan aplikasi web.

Atas ialah kandungan terperinci Apakah Dasar Keselamatan Kandungan (CSP) dan Bagaimana Ia Berfungsi?. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!