Dasar Keselamatan Kandungan (CSP): Panduan Komprehensif untuk Keselamatan Web
Dasar Keselamatan Kandungan (CSP) adalah mekanisme keselamatan penting yang melindungi laman web terhadap serangan suntikan kandungan, terutamanya skrip silang tapak (XSS). Dasar deklaratif ini memberi kuasa kepada pemaju untuk mewujudkan senarai putih sumber asal yang dipercayai, mengawal bagaimana penyemak imbas memuat sumber, menggunakan gaya dan skrip sebaris, dan mengendalikan penilaian JavaScript dinamik (mis., Menggunakan eval()). Sebarang percubaan untuk memuat sumber dari luar senarai putih ini disekat.
Konsep Utama:
Content-Security-Policy. report-uri
CSP, cadangan calon W3C, menggunakan header
untuk menyampaikan arahan. Arahan utama termasuk:, Content-Security-Policy, default-src, script-src, object-src, style-src, img-src, media-src, dan frame-src. font-src bertindak sebagai sandaran untuk arahan yang tidak ditentukan. connect-src
default-src arahan mengikuti corak yang konsisten:
self Senarai URL: URL yang dipisahkan ruang yang menyatakan asal-usul yang dibenarkan. none
object-src 'none'
Sebarang percubaan untuk memuatkan dari domain lain disekat, dengan mesej konsol. CSP secara semulajadi menyekat skrip sebaris dan penilaian kod dinamik, dengan ketara mengurangkan risiko suntikan.
<code>Content-Security-Policy: default-src 'self';</code>
Walaupun domain ditentukan, laluan tidak disokong pada masa ini. Walau bagaimanapun, wildcards (
) membenarkan kemasukan subdomain (mis., `
Untuk URL data, sertakan data: dalam arahan (mis., img-src 'data:'). 3 Kedua-duanya menggunakan dasar opt-in; Menghilangkan mereka menguatkuasakan sekatan. unsafe-inline
script-src style-src Keserasian penyemak imbas: <script></script> <style></style>
unsafe-eval CSP 1.0 menikmati sokongan penyemak imbas yang luas, dengan versi Internet Explorer yang lebih tua yang mempunyai keserasian terhad. script-src
pemantauan pelanggaran dengan :
Walaupun pembangunan menggunakan pembalakan konsol penyemak imbas, persekitaran pengeluaran mendapat manfaat daripada
. Ini menghantar permintaan pos HTTP yang mengandungi butiran pelanggaran (dalam format JSON) ke url yang ditentukan.
Contoh: report-uri
) menghasilkan laporan JSON yang dihantar ke report-uri.
<code>Content-Security-Policy: default-src 'self';</code>
www.google-analytics.com
report-uri untuk ujian, gunakan
Content-Security-Policy-Report-Only Melaksanakan CSP:
CSP ditetapkan melalui header HTTP. Konfigurasi Pelayan (Apache, IIS, NGINX) atau kaedah programatik (PHP Content-Security-Policy-Report-Only, Node.js's
Contoh-contoh dunia nyata:
Facebook dan Twitter menunjukkan pelaksanaan CSP yang pelbagai, menggunakan kad liar dan elaun domain tertentu.
header() setHeader() Peningkatan tahap 2 CSP:
CSP Level 2 memperkenalkan arahan baru (,
,,
,), pelaporan yang lebih baik, dan perlindungan berasaskan nonce/hash untuk skrip dan gaya inline.
Perlindungan berasaskan nonce: base-uri
child-src Nonce yang dijana secara rawak dimasukkan ke dalam tajuk CSP dan tag skrip sebaris. form-action
frame-ancestors plugin-types Perlindungan berasaskan hash:
Pelayan mengira hash blok skrip/gaya, termasuk dalam tajuk CSP. Penyemak imbas mengesahkan hash ini sebelum pelaksanaan.
Kesimpulan:
CSP dengan ketara meningkatkan keselamatan web dengan mengawal beban sumber. memudahkan pemantauan, dan Tahap 2 memperkenalkan penambahbaikan selanjutnya. Melaksanakan CSP adalah langkah penting dalam membina aplikasi web yang mantap dan selamat.
(Nota: Pemegang letak imej tetap tidak berubah seperti yang diminta.)
Atas ialah kandungan terperinci Meningkatkan Keselamatan Web dengan Dasar Keselamatan Kandungan. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!
![[Web front-end] Permulaan pantas Node.js](https://img.php.cn/upload/course/000/000/067/662b5d34ba7c0227.png)
