Apakah CSP Dasar Keselamatan Kandungan

Dasar Keselamatan Kandungan (CSP) menghalang serangan seperti XSS dengan mengehadkan sumber pemuatan sumber laman web. Mekanisme terasnya adalah untuk menetapkan senarai putih untuk mengelakkan skrip yang tidak dibenarkan daripada dilaksanakan. Langkah -langkah untuk membolehkan termasuk: 1. Tentukan dasar dan jelaskan sumber sumber yang dibenarkan; 2. Tambah header HTTP-Policy-Policy kandungan ke pelayan; 3. Ujian dan debug pada peringkat awal menggunakan mod laporan sahaja; 4. Strategi pemantauan dan pengoptimuman yang berterusan untuk memastikan bahawa mereka tidak mempengaruhi fungsi normal. Nota termasuk mengendalikan skrip dalam talian, penggunaan sumber pihak ketiga, sokongan keserasian, dan langkah-langkah keselamatan yang tidak dapat digantikan.

Dasar Keselamatan Kandungan (CSP) adalah mekanisme keselamatan yang membantu laman web mencegah dan mengurangkan serangan skrip jahat. Ringkasnya, ia menghalang kelemahan keselamatan seperti XSS (serangan skrip lintas tapak) daripada dieksploitasi dengan memberitahu penyemak imbas yang sumber boleh dimuatkan dan yang tidak boleh.

Idea terasnya ialah: Tidak semua sumber harus dimuatkan, hanya sumber kepercayaan anda harus dibenarkan untuk dilaksanakan.

Mengapa anda memerlukan CSP?

Tanpa CSP, laman web akan memuatkan sebarang skrip tertanam, gaya atau imej secara lalai, yang memberikan penyerang peluang untuk mengambil kesempatan. Sebagai contoh, pengguna berniat jahat mengemukakan sekeping kod JavaScript. Jika halaman tidak menapis cukup, kod akan dilaksanakan, yang mungkin mencuri kuki pengguna dan memulakan permintaan pemalsuan.

Fungsi CSP adalah untuk menyekat halaman dari memuatkan kandungan dari sumber yang ditentukan . Walaupun seseorang memasukkan kod berniat jahat, penyemak imbas tidak akan melaksanakannya selagi ia tidak datang dari sumber pada senarai putih.

Contohnya:

• Apabila tidak ada CSP, penyerang menyuntik <script src="https://malicious.com/evil.js"></script> dan penyemak imbas seperti biasa.
• Dengan CSP dan tetapan hanya membolehkan memuatkan JS dari pelayan anda sendiri, skrip luaran ini akan dipintas.

Bagaimana CSP berfungsi?

CSP meluluskan peraturan dasar melalui HTTP Response Header Content-Security-Policy . Selepas penyemak imbas menerima tajuk ini, ia akan menilai sama ada sumber dibenarkan dimuatkan mengikut peraturan.

Arahan CSP biasa termasuk:

• default-src : Dasar lalai untuk jenis sumber lain yang tidak ditentukan secara berasingan
• script-src : Kawalan di mana JavaScript boleh dimuatkan
• style-src : mengawal sumber pemuatan stylesheets CSS
• img-src : Sumber Imej Kawalan
• connect-src : Kawalan sasaran permintaan rangkaian seperti XMLHTTPREQUEST, Ambil, dll.

Mari memberi contoh strategi yang mudah:

 Kandungan-keselamatan-dasar: skrip-src 'diri'; objek-src 'tiada';

Makna strategi ini ialah: JavaScript hanya boleh dimuatkan dari nama domain semasa dan tidak membenarkan sebarang flash atau objek plug-in yang lain dimuatkan.

Bagaimana untuk memulakan dengan CSP?

Untuk membolehkan CSP, langkah utama adalah seperti berikut:

1. Tentukan kandungan dasar

   • Tentukan sumber mana yang boleh dimuatkan dari mana sumber mengikut struktur laman web anda
   • Anda boleh berehat terlebih dahulu dan kemudian mengetatkan secara beransur -ansur

2. Tambah header HTTP

   • Tambahkan Content-Security-Policy Header dalam Konfigurasi Pelayan
   • Sebagai contoh, di Nginx, anda boleh menambah ini:

      add_header kandungan-security-policy "script-src 'self'; gaya-src 'self' https://cdn.example.com;";

   • Ujian dan debugging

     • Pada peringkat awal, adalah disyorkan untuk menggunakan Content-Security-Policy-Report-Only mod untuk membolehkan pelayar melaporkan pelanggaran tetapi tidak benar-benar menyekat mereka.
     • Anda boleh menghantar log ke alamat yang ditentukan untuk analisis dalam kombinasi dengan report-uri atau report-to

   • Pemantauan dan pengoptimuman

     • Lihat sumber mana yang dipintas dan menyesuaikan dasar sehingga tidak menjejaskan fungsi normal

   ---

   Soalan dan nota yang sering ditanya

   • Skrip sebaris akan disekat

     • Jika anda menggunakan kaedah penulisan <script>console.log(&#39;hello&#39;)</script> , ia akan disekat oleh CSP secara lalai
     • Penyelesaian: Gunakan fail JS pautan luaran, atau tambahkan tandatangan nonce

   • Berhati-hati dengan sumber pihak ketiga

     • Apabila menggunakan kod CDNS atau statistik, ingatlah untuk menyenaraikannya
     • Jika tidak, ia boleh menyebabkan gangguan gaya dan kegagalan fungsi.

   • Keserasian biasanya baik

     • Pelayar moden arus perdana menyokong CSP
     • Tetapi versi lama IE mungkin tidak diiktiraf

   • Jangan terlalu bergantung pada CSP

     • Ia adalah "lapisan tambahan" dan tidak dapat menggantikan langkah -langkah keselamatan asas seperti penapisan input, melarikan diri output, dll.

   ---

   Secara umum, CSP adalah alat yang berkesan meningkatkan keselamatan front-end. Walaupun konfigurasi agak menyusahkan pada mulanya, sekali ditubuhkan, ia dapat mengurangkan risiko serangan seperti XSS. Pada dasarnya itu sahaja. Jika laman web anda sudah dalam talian, anda juga boleh mencuba dalam mod laporan sahaja.

   Atas ialah kandungan terperinci Apakah CSP Dasar Keselamatan Kandungan. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!