CSP:Content-Security-Policy
Firefox用户前端防止脚本注入攻击的一个技术,暂时其它浏览器未支持。
规范的步骤是:
1,服务端发送声明X-Content-Security-Policy的html头(或者meta,于所有meta之前)。
2,浏览器根据服务端返回的X-Content-Security-Policy进行选择性html渲染。(包括是否加载外域链接、是否允许内联脚本,是否允许eval)
重点列举几类申明:
1、X-Content-Security-Policy: allow 'self'; 不允许外部链接
2、X-Content-Security-Policy: allow 'self'; img-src *; 不允许除图片以外的外部链接
3、X-Content-Security-Policy: allow 'self'; img-src *; object-src media1.com media2.com; script-src userscripts.example.com 媒体文件必须在该白名单上 脚本文件可以是白名单域名下的文件
4、X-Content-Security-Policy: policy-uri /~bsterne/content-security-policy/tests/csp-policy.cgi 使用独立的权限定义文件
5、使用options inline-script允许内部脚本
阅读(509) | 评论(0) | 转发(0) |