Rumah > hujung hadapan web > tutorial js > Bagaimanakah Dasar Keselamatan Kandungan (CSP) melindungi tapak web daripada suntikan kod berniat jahat?

Bagaimanakah Dasar Keselamatan Kandungan (CSP) melindungi tapak web daripada suntikan kod berniat jahat?

Susan Sarandon
Lepaskan: 2024-11-09 11:20:02
asal
674 orang telah melayarinya

How does Content Security Policy (CSP) protect websites from malicious code injections?

Memahami Dasar Keselamatan Kandungan (CSP)

Ralat yang sering ditemui dalam konsol pembangun, seperti "Enggan...", adalah akibat daripada Dasar Keselamatan Kandungan (CSP), langkah keselamatan yang mengehadkan pemuatan sumber daripada sumber yang tidak dipercayai.

Bagaimana CSP Berfungsi?

CSP membolehkan anda mengawal dari mana sumber boleh dimuatkan. Anda menentukan sumber yang dibenarkan melalui arahan dalam pengepala HTTP Content-Security-Policy. Dengan menetapkan sekatan ini, anda meminimumkan risiko suntikan kod berniat jahat seperti serangan XSS.

Arahan

Arahan biasa termasuk:

  • default-src: Dasar lalai untuk memuatkan pelbagai sumber.
  • script-src: Mentakrifkan sumber yang sah untuk fail JavaScript.
  • style-src: Mentakrifkan sumber yang sah untuk fail CSS.
  • img-src: Mentakrifkan sah sumber untuk imej.
  • connect-src: Mentakrifkan sasaran yang sah untuk permintaan AJAX atau sambungan WebSocket.

Menggunakan CSP

1. Benarkan Berbilang Sumber:

content="default-src 'self' https://example.com/js/"
Salin selepas log masuk

2. Tentukan Arahan Berbilang:

content="default-src 'self' https://example.com/js/; style-src 'self'"
Salin selepas log masuk

3. Pengendalian Port:

content="default-src 'self' https://example.com:123/free/stuff/"
Salin selepas log masuk

4. Mengendalikan Protokol Berbeza:

content="default-src 'self'; connect-src ws:; style-src 'self'"
Salin selepas log masuk

5. Membenarkan Protokol Fail:

content="default-src filesystem"
Salin selepas log masuk

6. Gaya Sebaris dan Skrip:

content="script-src 'unsafe-inline'; style-src 'unsafe-inline'"
Salin selepas log masuk

7. Membenarkan eval():

content="script-src 'unsafe-eval'"
Salin selepas log masuk

8. Maksud 'diri':
'diri' merujuk kepada sumber dengan skema, hos dan port yang sama seperti fail yang ditakrifkan dasar.

9. Amaran Wildcard:
Semasa menggoda, menggunakan content="default-src *" membenarkan tindakan berisiko tertentu seperti membenarkan skrip sebaris dan eval(). Untuk kerentanan sebenar, pertimbangkan:

content="default-src * 'unsafe-inline' 'unsafe-eval'"
Salin selepas log masuk

Sumber

  • content-security-policy.com
  • ms.wikipedia.org/wiki/Content_Security_Policy

Atas ialah kandungan terperinci Bagaimanakah Dasar Keselamatan Kandungan (CSP) melindungi tapak web daripada suntikan kod berniat jahat?. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!

sumber:php.cn
Kenyataan Laman Web ini
Kandungan artikel ini disumbangkan secara sukarela oleh netizen, dan hak cipta adalah milik pengarang asal. Laman web ini tidak memikul tanggungjawab undang-undang yang sepadan. Jika anda menemui sebarang kandungan yang disyaki plagiarisme atau pelanggaran, sila hubungi admin@php.cn
Artikel terbaru oleh pengarang
Tutorial Popular
Lagi>
Muat turun terkini
Lagi>
kesan web
Kod sumber laman web
Bahan laman web
Templat hujung hadapan