CSP 的概念
Content-Security-Policy 內容安全策略
讓網站變得更加安全
詳細資料
mdn csp
作用
限制資源獲取
報告資源獲取越權
限制方式
default-src限制全域性
制定資源型別
資源型別
connect-src
img-src
font-src
media-src
frame-src
script-src
manifest-src
style-src
一些案例
限制內聯指令碼
在 web 領域,xss 可以通過注入指令碼的方式進行攻擊
const http = require('http')
const fs = require('fs')
http.createServer(function (request, response) {
console.log('request come', request.url)
if (request.url === '/') {
const html = fs.readFileSync('test.html', 'utf8')
response.writeHead(200, {
'Content-Type': 'text/html',
'Content-Security-Policy': 'default-src http: https:' // 只能通過http或https的方式載入
})
response.end(html)
} else {
response.writeHead(200, {
'Content-Type': 'application/javascript'
})
response.end('console.log("loaded script")')
}
}).listen(8888)
console.log('server listening on 8888')
複製程式碼<body>
<div>This is content</div>
<!-- 內聯指令碼 -->
<script>
console.log('inline js')
</script>
</body>
</html>
複製程式碼控制檯報錯
Refused to execute inline script because it violates the following Content Security Policy directive: "default-src http: https:". Either the 'unsafe-inline' keyword, a hash ('sha256-KU4m2rqHAFwi569te1RE5P3qW1O/qJ+m+gVo66Frm4k='), or a nonce ('nonce-...') is required to enable inline execution. Note also that 'script-src' was not explicitly set, so 'default-src' is used as a fallback.
限制外鏈載入 script
限制外連結在 的 script 通過哪些域名進行載入
如,限制只能通過本域名進行載入 外鏈 script
// server.js
'Content-Security-Policy': 'script-src \'self\'' // 限制外鏈 script 只能是本域名下的
複製程式碼// test.html
<script src="test.js"></script> 本域名下的可以使用
<script src="https://cdn.bootcss.com/jquery/3.3.1/core.js"></script>
複製程式碼8888埠訪問,可以看到報錯資訊
Refused to load the script 'https://cdn.bootcss.com/jquery/3.3.1/core.js' because it violates the following Content Security Policy directive: "script-src 'self'".
檢視 network,發現在瀏覽器端就被 block掉了,沒有傳送請求。
限制指定某個網站
'Content-Security-Policy': 'script-src \'self\' https://cdn.bootcss.com' // 限制外鏈 script 只能是本域名下的,允許指定域名script載入
複製程式碼這樣就沒有報錯資訊了,network 看到 core.js載入成功
限制 form 表單提交範圍
form 不接受 default-src 的限制,可以通過 form-action來限制。
下例中 form 會調轉到 baidu.com,通過 form-action限制瀏覽器會報錯。
// server.js
'Content-Security-Policy': 'script-src \'self\'; form-action \'self\'' // 限制表單提交只能在本域下
複製程式碼// test.html
<form action="http://baidu.com">
<button type="submit">click me</button>
</form>
複製程式碼報錯資訊
Refused to send form data to 'http://baidu.com/' because it violates the following Content Security Policy directive: "form-action 'self'".
限制圖片連結
通過全侷限制 default-src 就可以實現
'Content-Security-Policy': 'default-src \'self\'; form-action \'self\''
複製程式碼限制 ajax 請求
通過 connect-src
'Content-Security-Policy': 'connect-src \'self\'; form-action \'self\'; report-uri / report'
})
複製程式碼<script>
fetch('http://baidu.com')
</script>
複製程式碼報錯資訊
Refused to connect to 'http://baidu.com/' because it violates the following Content Security Policy directive: "connect-src 'self'".
彙報
// server.js
'Content-Security-Policy': 'default-src \'self\'; form-action \'self\'; report-uri / report'
複製程式碼network檢視,傳送的內容,是 標準的 csp report 的內容。
允許載入但彙報
使用 'Content-Security-Policy-Report-Only'
// server.js
'Content-Security-Policy-Report-Only': 'default-src \'self\'; form-action \'self\'; report-uri / report'
複製程式碼資源會正常載入,但是彙報 Report-Only相關的錯誤提醒
在 html 中使用 csp
和在服務端使用效果相同,最好在服務端做。
<meta http-equiv="Content-Security-Policy" content="script-src 'self'; form-action 'self';">
複製程式碼report-uri 不允許在 html 的 meta 中使用,只能在服務端通過 head 進行設定。