Content-Security-Policy的理解

[zhaoqize]

Content-Security-Policy介绍

Content-Security-Policy 中文的意思是 网页安全政策，主要用来防止XSS攻击。

如何防范XSS攻击的

通过 Content-Security-Policy 网页的开发者可以控制整个页面中 外部资源 的加载和执行。

比如可以控制哪些 域名下的静态资源可以被页面加载，哪些不能被加载。

这样就可以很大程度的防范了 来自 跨站(域名不同) 的脚本攻击。

它还有个非常响亮的称号：XSS攻击的终结者😄

如何使用

对于页面开发者来说，只需要在页面中设置

<meta http-equiv="Content-Security-Policy" content="">

类别

key	作用
default-src	给下面所有的规则设定一个默认值
script-src	外部脚本
style-src	样式表
img-src	图像
media-src	媒体文件（音频和视频）
font-src	字体文件
object-src	插件（比如 Flash）
child-src	框架
frame-ancestors	嵌入的外部资源（比如、<iframe>、和）
connect-src	HTTP 连接（通过 XHR、WebSockets、EventSource等）
worker-src	worker脚本
manifest-src	manifest 文件

script-src

script-src	作用
unsafe-inline	允许执行页面内嵌的<script>标签和事件监听函数
unsafe-eval	允许将字符串当作代码执行，比如使用eval、setTimeout、setInterval和Function等函数
nonce	每次HTTP回应给出一个授权token，页面内嵌脚本必须有这个token，才会执行
hash	列出允许执行的脚本代码的Hash值，页面内嵌脚本的哈希值只有吻合的情况下，才能执行

值

value	作用
主机名	example.org，https://example.com:443...
路径名	example.org/resources/js/
通配符	.example.org，://.example.com:（表示任意协议、任意子域名、任意端口）
协议名	https:、data:
关键字'self'	当前域名，需要加引号
关键字'none'	https:、data:
协议名	禁止加载任何外部资源，需要加引号

下面来个具体的例子：

<meta http-equiv="Content-Security-Policy" content="
default-src http: https:  *.meituan.com 'self' 'unsafe-inline' ;
style-src 'self' 'unsafe-inline' *.meituan.com;
script-src 'self' 'unsafe-inline' 'unsafe-eval' ;
">

• 默认设置（default-src）：信任 http ,https协议资源，信任当前域名资源，信任符合*.meituan.com的域名资源
• CSS设置（style-src）：信任当前域名资源，允许内嵌的CSS资源，信任来自*.meituan.com下的CSS资源
• JS设置（script-src）：信任当前域名资源，允许内嵌的JS执行，允许将字符串当作代码执行

参考

• Content Security Policy 入门教程
• Content Security Policy (CSP) 是什么？为什么它能抵御 XSS 攻击？
• wiki-Content_Security_Policy