PHP8.1 dikeluarkan: menyokong CSP (Dasar Keselamatan Kandungan)

PHP8.1 dikeluarkan: menyokong CSP (Dasar Keselamatan Kandungan)

Dengan perkembangan Internet, isu keselamatan rangkaian semakin menjadi tumpuan perhatian. Untuk melindungi privasi dan keselamatan pengguna, lebih banyak tapak web mula menerima pakai Dasar Keselamatan Kandungan (CSP) untuk mengehadkan kandungan yang boleh dilaksanakan dan sumber yang boleh dimuatkan dalam halaman web. Dalam keluaran terbaru PHP 8.1, sokongan asli untuk CSP telah diperkenalkan, memberikan pembangun alat yang lebih baik untuk meningkatkan keselamatan halaman web.

CSP membenarkan pembangun halaman web mengehadkan kod yang boleh dilaksanakan dalam halaman web dengan menyatakan sumber sumber yang dibenarkan untuk dimuatkan, menghalang XSS (serangan skrip merentas tapak) dan serangan berniat jahat yang lain. PHP8.1 menyediakan cara yang mudah dan berkuasa untuk mentakrif dan melaksanakan dasar CSP Mari lihat beberapa contoh kod di bawah.

Pertama, kita perlu tahu bagaimana strategi CSP berfungsi. Dasar menentukan jenis sumber yang boleh dimuatkan ke dalam halaman web, serta skrip dan gaya yang dibenarkan. Pembangun boleh menggunakan fungsi baharu yang disediakan oleh PHP untuk menetapkan dasar CSP, seperti ditunjukkan di bawah:

<?php
header("Content-Security-Policy: default-src 'self'; script-src 'self' 'unsafe-inline' 'unsafe-eval'; style-src 'self' 'unsafe-inline';");
?>

Dalam contoh di atas, kami menggunakan fungsi header() untuk menetapkan Content-Security - Pengepala respons polisi. Fail pengepala ini menentukan sumber yang dimuatkan secara lalai (default-src 'self'), dan masing-masing menentukan skrip yang dibenarkan untuk dimuatkan (script-src 'self' 'unsafe -inline' 'unsafe-eval') dan gaya (style-src 'self' 'unsafe-inline'). Dengan cara ini, hanya sumber daripada domain yang sama akan dimuatkan, membenarkan skrip dan gaya sebaris. header()函数来设置Content-Security-Policy响应头。这个头文件指定了默认加载的资源（default-src 'self'），并分别指定了允许加载的脚本（script-src 'self' 'unsafe-inline' 'unsafe-eval'）和样式（style-src 'self' 'unsafe-inline'）。这样，只有从同一域名的资源才会被加载，同时允许内联脚本和样式。

除了通用的加载策略外，CSP还提供了其他的指令来控制加载的资源类型，如image-src、font-src、media-src等。开发者可以根据自己的需求对这些指令进行设置。

接下来，我们来看一个更具体的例子。假设我们的网页需要加载一个第三方库（如jQuery）和一些自定义的脚本，我们可以这样设置CSP策略：

<?php
header("Content-Security-Policy: default-src 'self'; script-src 'self' 'unsafe-inline' 'unsafe-eval' https://cdnjs.cloudflare.com/ajax/libs/jquery/3.6.0/jquery.min.js; style-src 'self' 'unsafe-inline';");
?>

在上面的示例中，我们通过在script-src指令的参数中加入jQuery的CDN链接来允许加载该库。这样，即使我们的加载策略是只允许从同一域名加载资源，但是我们依然可以使用其他域名上的资源。

总结来说，PHP8.1的发布为开发者提供了对CSP的本地支持，简化了设置和实施CSP策略的过程。通过使用Content-Security-Policy

Sebagai tambahan kepada strategi pemuatan umum, CSP juga menyediakan arahan lain untuk mengawal jenis sumber yang dimuatkan, seperti image-src, font-src, media -srcdll. Pembangun boleh menetapkan arahan ini mengikut keperluan mereka sendiri. 🎜🎜Seterusnya, mari lihat contoh yang lebih khusus. Dengan mengandaikan bahawa halaman web kami perlu memuatkan perpustakaan pihak ketiga (seperti jQuery) dan beberapa skrip tersuai, kami boleh menetapkan dasar CSP seperti ini: 🎜rrreee🎜Dalam contoh di atas, kami memasukkan script-src Tambahkan pautan CDN jQuery ke parameter arahan untuk membolehkan perpustakaan dimuatkan. Dengan cara ini, walaupun dasar pemuatan kami hanya membenarkan sumber dimuatkan daripada nama domain yang sama, kami masih boleh menggunakan sumber pada nama domain lain. 🎜🎜Ringkasnya, keluaran PHP 8.1 menyediakan pembangun dengan sokongan asli untuk CSP, memudahkan proses menyediakan dan melaksanakan dasar CSP. Dengan menggunakan pengepala respons <code>Content-Security-Policy dan arahan yang sepadan, pembangun boleh secara fleksibel mengehadkan sumber yang boleh dimuatkan dan kod yang boleh dilaksanakan dalam halaman web, dengan itu mengukuhkan keselamatan halaman web. Apabila membangunkan halaman web, kita harus menggunakan sepenuhnya ciri baharu ini untuk melindungi privasi dan keselamatan pengguna. 🎜

Atas ialah kandungan terperinci PHP8.1 dikeluarkan: menyokong CSP (Dasar Keselamatan Kandungan). Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!