通过内容安全策略改善Web安全性

内容安全策略（CSP）：Web Security的综合指南

内容安全策略（CSP）是一种关键的安全机制，保护网站免受内容注入攻击的攻击，主要是跨站点脚本（XSS）。 该声明性策略使开发人员能够创建一个信任资源起源的白名单，控制浏览器如何加载资源，使用内联样式和脚本，并处理动态JavaScript评估（例如，使用eval()）。 从该白名单外部加载资源的任何尝试都被阻止。

密钥概念：

• 白名单方法：
http标头传递：该策略是通过 基于指令的控制： Content-Security-Policy标题包含指令指定允许的域并限制JavaScript执行以防止注射攻击。>
• 违规报告：指令日志CSP违规，对于生产环境来说是无价的。 这将发送一份JSON报告，详细介绍了指定的URL。
CSP的工作方式：
• W3C候选推荐的CSP使用标题来提供指令。 关键指令包括：，，report-uri，
，

，

，，，

和

>。 Content-Security-Policy>作为未指定指令的后备。default-src> script-src>指令遵循一致的模式：object-src style-src img-srcmedia-src：指当前域。frame-src font-src URL列表：空间分离的URL指定允许的起源。 connect-srcdefault-src：禁止给定指令的加载资源（例如，

>基本的CSP仅允许从当前域中进行资源：>

• >使用控制台消息阻止从另一个域中加载的任何尝试。 CSP固有地限制了内联脚本和动态代码评估，从而大大减轻了注射风险。self
• >指定域，目前不支持路径。 但是，通配符（none）允许子域包含（例如，object-src 'none'.mycdn.com`）。 每个指令都需要明确的域/子域列表；他们不继承以前的指令。

对于数据URL，在指令中包括data:（例如，img-src 'data:'）。 unsafe-inline（对于script-src和style-src）允许内联<script></script>和<style></style>>标签，unsafe-eval>（forscript-src）启用动态代码评估。 两者都使用选择加入政策；省略它们会执行限制。

>浏览器兼容性：

> CSP 1.0享有广泛的浏览器支持，较旧的Internet Explorer版本的兼容性有限。

>用>监视违规：report-uri> >开发使用浏览器控制台日志记录，而生产环境则从

中受益。这将HTTP POST请求包含违规详细信息（以JSON格式）发送到指定的URL。

>示例：report-uri

违规行为（例如，从

加载）生成发送给

<code>Content-Security-Policy: default-src 'self';</code>

>的JSON报告

www.google-analytics.com report-uri标题：

进行测试，使用Content-Security-Policy-Report-Only。 这报告了违规行为而不会阻止资源，从而允许在不中断的情况下进行政策完善。 两个标头都可以同时使用。

实现CSP： Content-Security-Policy-Report-Only 通过HTTP标头设置

CSP。 服务器配置（Apache，iis，nginx）或程序化方法（php's

，node.js's）。>

现实世界示例：header()setHeader()

> Facebook和Twitter展示了不同的CSP实现，利用通配符和特定的域津贴。

CSP级别2增强：

>

csp级别2介绍了新指令（

>，

，，，

），改进的报告和基于NONCE/HASH对内联脚本和样式的保护。 基于非CE的保护：

base-urichild-srcform-action> frame-ancestorsCSP标签和内联脚本标签中都包含一个随机生成的nonce。plugin-types 基于哈希的保护：

>服务器计算CSP标头中包含的脚本/样式块的哈希。浏览器在执行之前验证此哈希。

>

结论： 通过控制资源加载，CSP可以显着增强Web安全性。

>促进监测，第2级引入了进一步的改进。 实施CSP是构建强大和安全的Web应用程序的至关重要的一步。

（注意：图像占位符按要求保持不变。）

以上是通过内容安全策略改善Web安全性的详细内容。更多信息请关注PHP中文网其他相关文章！