什麼是CSPcss
CSP全稱Content Security Policy ,能夠直接翻譯爲內容安全策略,說白了,就是爲了頁面內容安全而制定的一系列防禦策略. 經過CSP所約束的的規責指定可信的內容來源(這裏的內容能夠指腳本、圖片、iframe、fton、style等等可能的遠程的資源)。經過CSP協定,讓WEB處於一個安全的運行環境中。前端
有什麼用?web
咱們知道前端有個很著名的」同源策略」,簡而言之,就是說一個頁面的資源只能從與之同源的服務器獲取,而不容許跨域獲取.這樣能夠避免頁面被注入惡意代碼,影響安全.可是這個策略是個雙刃劍,擋住惡意代碼的同時也限制了前端的靈活性,那有沒有一種方法既可讓咱們能夠跨域獲取資源,又能防止惡意代碼呢?ajax
答案是固然有了,這就是csp,經過csp咱們能夠制定一系列的策略,從而只容許咱們頁面向咱們容許的域名發起跨域請求,而不符合咱們策略的惡意攻擊則被擋在門外.從而實現api
須要說明的一點是,目前主流的瀏覽器都已支持csp.因此咱們能夠放心大膽的用了.跨域
指令說明瀏覽器
指令就是csp中用來定義策略的基本單位,咱們可使用單個或者多個指令來組合做用,功能防禦咱們的網站.安全
如下是經常使用的指令說明:服務器
| 指令名app |
demo |
說明 |
| default-src |
'self' cdn.example.com |
默認策略,能夠應用於js文件/圖片/css/ajax請求等全部訪問 |
| script-src |
'self' js.example.com |
定義js文件的過濾策略 |
| style-src |
'self' css.example.com |
定義css文件的過濾策略 |
| img-src |
'self' img.example.com |
定義圖片文件的過濾策略 |
| connect-src |
'self' |
定義請求鏈接文件的過濾策略 |
| font-src |
font.example.com |
定義字體文件的過濾策略 |
| object-src |
'self' |
定義頁面插件的過濾策略,如 <object>, <embed> 或者<applet>等元素 |
| media-src |
media.example.com |
定義媒體的過濾策略,如 HTML6的 <audio>, <video>等元素 |
| frame-src |
'self' |
定義加載子frmae的策略 |
| sandbox |
allow-forms allow-scripts |
沙盒模式,會阻止頁面彈窗/js執行等,你能夠經過添加allow-forms allow-same-origin allow-scripts allow-popups, allow-modals, allow-orientation-lock, allow-pointer-lock, allow-presentation, allow-popups-to-escape-sandbox, and allow-top-navigation 策略來放開相應的操做 |
| report-uri |
/some-report-uri |
|
指令值
全部以-src結尾的指令均可以用一下的值來定義過濾規則,多個規則之間能夠用空格來隔開
| 值 |
demo |
說明 |
| * |
img-src * |
容許任意地址的url,可是不包括 blob: filesystem: schemes. |
| 'none' |
object-src 'none' |
全部地址的諮詢都不容許加載 |
| 'self' |
script-src 'self' |
同源策略,即容許同域名同端口下,同協議下的請求 |
| data: |
img-src 'self' data: |
容許經過data來請求諮詢 (好比用Base64 編碼過的圖片). |
| domain.example.com |
img-src domain.example.com |
容許特性的域名請求資源 |
| *.example.com |
img-src *.example.com |
容許從 example.com下的任意子域名加載資源 |
| https://cdn.com |
img-src https://cdn.com |
僅僅容許經過https協議來從指定域名下加載資源 |
| https: |
img-src https: |
只容許經過https協議加載資源 |
| 'unsafe-inline' |
script-src 'unsafe-inline' |
容許行內代碼執行 |
| 'unsafe-eval' |
script-src 'unsafe-eval' |
容許不安全的動態代碼執行,好比 JavaScript的 eval()方法 |
示例
default-src 'self';
只容許同源下的資源
script-src 'self';
只容許同源下的js
script-src 'self' www.google-analytics.com ajax.googleapis.com;
容許同源以及兩個地址下的js加載
default-src 'none'; script-src 'self'; connect-src 'self'; img-src 'self'; style-src 'self';
多個資源時,後面的會覆蓋前面的
服務器端配置
- Apache服務
在VirtualHost的httpd.conf文件或者.htaccess文件中加入如下代碼
Header set Content-Security-Policy "default-src 'self';"
- Nginx
在 server {}對象塊中添加以下代碼
add_header Content-Security-Policy "default-src 'self';";
- IIS
web.config:中添加
<system.webServer>
<httpProtocol>
<customHeaders>
<add name="Content-Security-Policy" value="default-src 'self';" />
</customHeaders>
</httpProtocol>
</system.webServer>