Was ist Inhaltssicherheitsrichtlinie CSP

Inhaltssicherheitspolitik (CSP) verhindert Angriffe wie XSS, indem die Ladequelle der Webseitenressourcen begrenzt wird. Sein Kernmechanismus ist es, einen Whitelist festzulegen, um zu verhindern, dass nicht autorisierte Skripte ausgeführt werden. Zu den zu aktivierenden Schritten gehören: 1. Definieren Sie die Richtlinie und klären Sie die zulässigen Ressourcenquellen; 2. HTTP-Header in Content-Security-Policy zum Server; 3. Testen und Debuggen im frühen Stadium im Rahmen des Berichts nur im Bericht; 4. Strategien zur kontinuierlichen Überwachung und Optimierung, um sicherzustellen, dass sie keine normalen Funktionen beeinflussen. Zu den Anmerkungen gehören die Handhabung von Inline-Skripten, die sorgfältige Verwendung von Ressourcen von Drittanbietern, Kompatibilitätsunterstützung und andere unersetzliche Sicherheitsmaßnahmen.

Content Security Policy (CSP) ist ein Sicherheitsmechanismus, der Websites hilft, böswillige Skriptangriffe zu verhindern und zu reduzieren. Einfach ausgedrückt, verhindert es, dass Sicherheitsanfälligkeiten wie XSS (Cross-Site-Skriptangriffe) ausgenutzt werden, indem der Browser mitgeteilt wird, welche Ressourcen geladen werden können und welche nicht.

Seine Kernidee ist: Nicht alle Ressourcen sollten geladen werden, nur die Quellen Ihres Vertrauens sollten ausgeführt werden.

Warum brauchst du einen CSP?

Ohne CSP lädt die Webseite standardmäßig eingebettete Skripte, Stile oder sogar Bilder, wodurch Angreifer die Möglichkeit haben, den Vorteil zu nutzen. Zum Beispiel gibt ein böswilliger Benutzer ein Stück JavaScript -Code ein. Wenn die Seite nicht genug filtert, wird der Code ausgeführt, der die Cookies des Benutzers stiehlt und eine Fälschungsanforderung initiiert.

Die Funktion von CSP besteht darin, die Seite vom Laden von Inhalten aus der angegebenen Quelle zu beschränken . Auch wenn jemand böswilliger Code einfügt, wird der Browser ihn nicht ausführen, solange er nicht aus der Ressource auf der Whitelist stammt.

Zum Beispiel:

• Wenn es keinen CSP gibt, injiziert der Angreifer <script src="https://malicious.com/evil.js"></script> und der Browser lädt wie gewohnt.
• Mit CSP und Setting ermöglicht das Laden von JS von Ihrem eigenen Server. Dieses externe Skript wird abgefangen.

Wie funktioniert CSP?

CSP übergibt die Richtlinienregeln durch HTTP-Antwort-Header Content-Security-Policy . Nachdem der Browser diesen Header erhalten hat, wird beurteilen, ob eine Ressource gemäß den Regeln geladen werden darf.

Zu den allgemeinen CSP -Anweisungen gehören:

• default-src : Standardrichtlinie für andere Ressourcentypen, die nicht getrennt angegeben sind
• script-src : Kontrolle, wo JavaScript geladen werden kann
• style-src : Steuert die Ladequelle von CSS-Stylesheets
• img-src : Bildquelle steuern
• connect-src : Steuern Sie das Ziel von Netzwerkanforderungen wie XMLHTTPrequest, Abrufen usw.

Geben wir ein einfaches Strategiebeispiel an:

 Content-Security-Policy: Skript-Src 'Self'; Objekt-src 'keine';

Die Bedeutung dieser Strategie lautet: JavaScript kann nur aus dem aktuellen Domänennamen geladen werden und ermöglicht keine Lade von Blitz oder anderen Plug-in-Objekten.

Wie fange ich mit CSP an?

Um CSP zu aktivieren, sind die Hauptschritte wie folgt:

1. Definieren Sie den Richtlinieninhalt

   • Bestimmen Sie, welche Ressourcen geladen werden können, aus welchen Quellen entsprechend Ihrer Website -Struktur
   • Sie können sich zuerst entspannen und dann allmählich festziehen

2. Fügen Sie den HTTP -Header hinzu

   • Fügen Sie Content-Security-Policy -Header in der Serverkonfiguration hinzu
   • In Nginx können Sie beispielsweise Folgendes hinzufügen:

      add_header content-security-policy "script-src 'self'; style-src 'self' https://cdn.example.com;";

   • Testen und Debuggen

     • In der frühen Phase wird empfohlen, nur den Modus Content-Security-Policy-Report-Only zu verwenden, damit der Browser Verstöße melden kann, sie jedoch nicht wirklich blockiert.
     • Sie können Protokolle an die angegebene Adresse für die Analyse in Kombination mit report-uri oder report-to senden

   • Überwachung und Optimierung

     • Sehen Sie, welche Ressourcen abgefangen werden, und passen Sie die Richtlinie an, bis sie die normale Funktion nicht beeinflusst

   ---

   Häufig gestellte Fragen und Notizen

   • Inline -Skripte werden blockiert

     • Wenn Sie <script>console.log(&#39;hello&#39;)</script> schreiben, wird sie standardmäßig nach CSP blockiert
     • Lösung: Verwenden Sie stattdessen eine JS -Datei für den externen Link oder fügen Sie eine Nonce -Signatur hinzu

   • Seien Sie vorsichtig mit Ressourcen von Drittanbietern

     • Denken Sie bei der Verwendung von CDNs oder Statistikcodes daran, sie die Whitelistin zu verwenden
     • Andernfalls kann es zu Stylingstörungen und Funktionsfehler führen.

   • Kompatibilität ist im Allgemeinen gut

     • Mainstream Modern Browser unterstützen CSP
     • Aber alte Versionen von IE mögen nicht erkannt werden

   • Verlassen Sie sich nicht zu sehr auf CSP

     • Es handelt sich um eine "zusätzliche Ebene" und kann keine grundlegenden Sicherheitsmaßnahmen ersetzen, wie z. B. Eingangsfilterung, Ausgangsausgabe usw.

   ---

   Im Allgemeinen ist CSP ein Tool, das die Sicherheit der Front-End-Sicherheit effektiv verbessert. Obwohl die Konfiguration zu Beginn etwas problematisch ist, sobald sie eingerichtet ist, kann sie das Risiko von Angriffen wie XSS erheblich verringern. Grundsätzlich ist das alles. Wenn Ihre Website bereits online ist, können Sie sie auch im nur Berichtsmodus versuchen.

   Das obige ist der detaillierte Inhalt vonWas ist Inhaltssicherheitsrichtlinie CSP. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!