Content-Security-Policy,中文翻译为:内容安全策略(CSP)。其核心思想为:网站通过发送一个 CSP 头部,来告诉浏览器什么是被授权执行的,什么是需要被禁止的,被誉为专门为解决XSS攻击而生的神器。
内容安全策略 (CSP) 是一个额外的安全层,用于检测并削弱某些特定类型的攻击,包括跨站脚本 (XSS) 和数据注入攻击等。无论是数据盗取、网站内容污染还是散发恶意软件,这些攻击都是主要的手段。
CSP 的实质就是白名单制度,明确告诉客户端,哪些外部资源可以加载和执行,等同于提供白名单。它的实现和执行全部由浏览器完成,开发者只需提供配置即可。
CSP 大大增强了网页的安全性。攻击者即使发现了漏洞,也没法注入脚本,除非还控制了一台列入了白名单的可信主机。
csp作用:减轻网页被xss攻击后所受到的危害。实际上csp是在xss攻击发生后才起作用,阻止请求注入的非法资源,csp并不是直接阻止xss攻击的发生。
Content-Security-Policy的指令和指令值介绍:
当响应头设置为Content-Security-Policy以后,违背csp规则的资源会被禁止加载,同时会进行上报处理。
您已成功复制微信号
leishi010
打开微信添加好友?
确定
