通過內容安全策略改善Web安全性

內容安全策略（CSP）：Web Security的綜合指南

內容安全策略（CSP）是一種關鍵的安全機制，保護網站免受內容注入攻擊的攻擊，主要是跨站點腳本（XSS）。 該聲明性策略使開發人員能夠創建一個信任資源起源的白名單，控制瀏覽器如何加載資源，使用內聯樣式和腳本，並處理動態JavaScript評估（例如，使用eval()）。 從該白名單外部加載資源的任何嘗試都被阻止。

密鑰概念：

• 白名單方法：
http標頭傳遞：該策略是通過 基於指令的控制： Content-Security-Policy標題包含指令指定允許的域並限制JavaScript執行以防止注射攻擊。 >
• 違規報告：指令日誌CSP違規，對於生產環境來說是無價的。 這將發送一份JSON報告，詳細介紹了指定的URL。
CSP的工作方式：
• W3C候選推薦的CSP使用標題來提供指令。 關鍵指令包括：，，report-uri，
，

，

，，，

和

>。 Content-Security-Policy>作為未指定指令的後備。 default-src> script-src>指令遵循一致的模式：object-src style-src img-srcmedia-src：指當前域。 frame-src font-src URL列表：空間分離的URL指定允許的起源。 connect-srcdefault-src：禁止給定指令的加載資源（例如，

>基本的CSP僅允許從當前域中進行資源：>

• >使用控制台消息阻止從另一個域中加載的任何嘗試。 CSP固有地限制了內聯腳本和動態代碼評估，從而大大減輕了注射風險。 self
• >指定域，目前不支持路徑。 但是，通配符（none）允許子域包含（例如，object-src 'none'.mycdn.com`）。 每個指令都需要明確的域/子域列表；他們不繼承以前的指令。

對於數據URL，在指令中包括data:（例如，img-src 'data:'）。 unsafe-inline（對於script-src和style-src）允許內聯<script></script>和<style></style>>標籤，unsafe-eval>（forscript-src）啟用動態代碼評估。 兩者都使用選擇加入政策；省略它們會執行限制。

>瀏覽器兼容性：

> CSP 1.0享有廣泛的瀏覽器支持，較舊的Internet Explorer版本的兼容性有限。

>用>監視違規：report-uri> >開發使用瀏覽器控制台日誌記錄，而生產環境則從

中受益。這將HTTP POST請求包含違規詳細信息（以JSON格式）發送到指定的URL。

>示例：report-uri

違規行為（例如，從

加載）生成發送給

<code>Content-Security-Policy: default-src 'self';</code>

>的JSON報告

www.google-analytics.com report-uri標題：

進行測試，使用Content-Security-Policy-Report-Only。 這報告了違規行為而不會阻止資源，從而允許在不中斷的情況下進行政策完善。 兩個標頭都可以同時使用。

實現CSP： Content-Security-Policy-Report-Only 通過HTTP標頭設置

CSP。 服務器配置（Apache，iis，nginx）或程序化方法（php's

，node.js's）。 >

現實世界示例：header()setHeader()

> Facebook和Twitter展示了不同的CSP實現，利用通配符和特定的域津貼。

CSP級別2增強：

>

csp級別2介紹了新指令（

>，

，，，

），改進的報告和基於NONCE/HASH對內聯腳本和样式的保護。 基於非CE的保護：

base-urichild-srcform-action> frame-ancestorsCSP標籤和內聯腳本標籤中都包含一個隨機生成的nonce。 plugin-types 基於哈希的保護：

>服務器計算CSP標頭中包含的腳本/樣式塊的哈希。瀏覽器在執行之前驗證此哈希。

>

結論： 通過控制資源加載，CSP可以顯著增強Web安全性。

>促進監測，第2級引入了進一步的改進。 實施CSP是構建強大和安全的Web應用程序的至關重要的一步。

（注意：圖像佔位符按要求保持不變。）

以上是通過內容安全策略改善Web安全性的詳細內容。更多資訊請關注PHP中文網其他相關文章！