前端內容安全策略（csp）

時間 2019-12-13

標籤前端內容安全策略 csp 欄目系統安全简体版

原文原文鏈接

什麼是CSPcss

CSP全稱Content Security Policy ,能夠直接翻譯爲內容安全策略,說白了,就是爲了頁面內容安全而制定的一系列防禦策略. 經過CSP所約束的的規責指定可信的內容來源（這裏的內容能夠指腳本、圖片、iframe、fton、style等等可能的遠程的資源）。經過CSP協定，讓WEB處於一個安全的運行環境中。前端

有什麼用?web

咱們知道前端有個很著名的」同源策略」,簡而言之,就是說一個頁面的資源只能從與之同源的服務器獲取,而不容許跨域獲取.這樣能夠避免頁面被注入惡意代碼,影響安全.可是這個策略是個雙刃劍,擋住惡意代碼的同時也限制了前端的靈活性,那有沒有一種方法既可讓咱們能夠跨域獲取資源,又能防止惡意代碼呢?ajax

答案是固然有了,這就是csp,經過csp咱們能夠制定一系列的策略,從而只容許咱們頁面向咱們容許的域名發起跨域請求,而不符合咱們策略的惡意攻擊則被擋在門外.從而實現api

須要說明的一點是,目前主流的瀏覽器都已支持csp.因此咱們能夠放心大膽的用了.跨域

指令說明瀏覽器

指令就是csp中用來定義策略的基本單位,咱們可使用單個或者多個指令來組合做用,功能防禦咱們的網站.安全

如下是經常使用的指令說明:服務器

指令名app	demo	說明
default-src	'self' cdn.example.com	默認策略,能夠應用於js文件/圖片/css/ajax請求等全部訪問
script-src	'self' js.example.com	定義js文件的過濾策略
style-src	'self' css.example.com	定義css文件的過濾策略
img-src	'self' img.example.com	定義圖片文件的過濾策略
connect-src	'self'	定義請求鏈接文件的過濾策略
font-src	font.example.com	定義字體文件的過濾策略
object-src	'self'	定義頁面插件的過濾策略,如 <object>, <embed> 或者<applet>等元素
media-src	media.example.com	定義媒體的過濾策略,如 HTML6的 <audio>, <video>等元素
frame-src	'self'	定義加載子frmae的策略
sandbox	allow-forms allow-scripts	沙盒模式,會阻止頁面彈窗/js執行等,你能夠經過添加allow-forms allow-same-origin allow-scripts allow-popups, allow-modals, allow-orientation-lock, allow-pointer-lock, allow-presentation, allow-popups-to-escape-sandbox, and allow-top-navigation 策略來放開相應的操做
report-uri	/some-report-uri

指令值

全部以-src結尾的指令均可以用一下的值來定義過濾規則,多個規則之間能夠用空格來隔開

值	demo	說明
*	img-src *	容許任意地址的url,可是不包括 blob: filesystem: schemes.
'none'	object-src 'none'	全部地址的諮詢都不容許加載
'self'	script-src 'self'	同源策略,即容許同域名同端口下,同協議下的請求
data:	img-src 'self' data:	容許經過data來請求諮詢 (好比用Base64 編碼過的圖片).
domain.example.com	img-src domain.example.com	容許特性的域名請求資源
*.example.com	img-src *.example.com	容許從 example.com下的任意子域名加載資源
https://cdn.com	img-src https://cdn.com	僅僅容許經過https協議來從指定域名下加載資源
https:	img-src https:	只容許經過https協議加載資源
'unsafe-inline'	script-src 'unsafe-inline'	容許行內代碼執行
'unsafe-eval'	script-src 'unsafe-eval'	容許不安全的動態代碼執行,好比 JavaScript的 eval()方法