Content Security Policy 学习笔记之二：default-src 指令的使用方式（contentment）

Content Security Policy 学习笔记之二：default-src 指令的使用方式（contentment）

我们定义了这样一条 CSP 策略：

Content-Security-Policy: script-src ‘self’ 是一个指令，用于控制特定页面的一组与脚本相关的权限。 我们将 ​​self​​ 指定为一个有效的脚本来源，并将 指定为另一个。 浏览器尽职尽责地通过 HTTPS 从 apis.google.com 以及当前页面的来源下载并执行 JavaScript。

定义此策略后，当浏览器从任何其他来源加载脚本时，只会抛出错误消息。即使恶意攻击者成功的代码注入到 Web 站点时，也只能遇到错误消息：

Refused to load the script because it violates the following content security policy directive: "script-src ‘self’ ".

虽然脚本资源是最明显的安全风险，但 CSP 提供了一组丰富的策略指令，可以对允许加载页面的资源进行相当精细的控制。 这些指令的工作原理同 ​​script-src​​ 类似。

base-uri 限制可以出现在页面的 ​​base​​ 元素中的 URL。child-src 列出了工作人员和嵌入框架内容的 URL。 例如：​​child-src​​ 将允许嵌入来自 YouTube 的视频，但不能嵌入来自其他来源的视频。connect-src 限制可以连接到的源（通过 XHR、WebSockets 和 EventSource）。

默认情况下，指令是完全开放的。 如果没有为指令设置特定的策略，比如 ​​font-src​​​，那么该指令的默认行为就像将 ​​*​​ 指定为有效源一样（例如，可以从任何地方加载字体，没有限制）.

可以通过指定 ​​default-src​​ 指令来覆盖此默认行为。该指令定义了未指定的大多数指令的默认值。 通常，这适用于任何以 -src 结尾的指令。 如果 default-src 设置为 font-src 指令，那么可以从 加载字体，而不能从其他地方加载。 我们在前面的示例中只指定了 script-src，这意味着可以从任何来源加载图像、字体等。

可以根据您的特定应用程序使用尽可能多或尽可能少的这些指令，只需在 HTTP 标头中列出每个指令，用分号分隔指令。 确保在单个指令中列出特定类型的所有必需资源。 如果写了类似 script-src script-src 第二个指令将被忽略。 类似以下的内容会正确地将两个来源都指定为有效：

script-src https://host2.com

版权声明：本文内容由网络用户投稿，版权归原作者所有，本站不拥有其著作权，亦不承担相应法律责任。如果您发现本站中有涉嫌抄袭或描述失实的内容，请联系我们jiasou666@gmail.com 处理，核实后本网站将在24小时内删除侵权内容。