Content Security Policy 学习笔记之三：CSP 指令的使用方式（content可数吗）

Content Security Policy 学习笔记之三：CSP 指令的使用方式（content可数吗）

​​Owasp​​ 很好地概述了可以应用的各种标头。

HTTP Strict-Transport-Security

HSTS 安全标头强制 Web 浏览器仅通过 访问店面。 这可以防止潜在的协议降级和 cookie 劫持。

这是一个非常基本的标头，应该默认应用于 Storefront 应用程序。

以下片段显示了一个示例标头配置：

Strict-Transport-Security: max-age=31536000 ; includeSubDomains

X-Frame-Options

X-XSS-Protection

通常建议不要使用 X-XSS-Protection 安全标头，因为它可以“在客户端引入额外的安全问题”。参看这个​​链接​​。

X-Content-Type-Options

为了防止用户将恶意文件上传到后端 API（AKA MIME 嗅探漏洞），可以添加 X-Content-Type-Options 标头。

由于审核可能会报告缺少 X-Content-Type-Options，因此建议无论如何添加此标头。

例子：

X-Content-Type-Options: nosniff

Content Security Policy (CSP)

CSP 可防止各种攻击，包括跨站点脚本和其他跨站点注入。 可以使用多个指令详细指定该策略。

该政策应包括以下指令：

frame-ancestors 指令：允许将店面加载到 SmartEdit 框架中。script-src 指令可防止从未知位置加载脚本。 这不仅包括 spartacus 静态资源，还包括 SmartEdit、Qualtrics 等用于集成的第三方 JS 文件。

script-src 指令不应使用 unsafe-inline 或 unsafe-eval 来防止 XSS。

object-src 指令以避免任何不安全的执行（即 flash、java 等）。default-src 限制为仅使用 https

参考这篇​​文档​​。

版权声明：本文内容由网络用户投稿，版权归原作者所有，本站不拥有其著作权，亦不承担相应法律责任。如果您发现本站中有涉嫌抄袭或描述失实的内容，请联系我们jiasou666@gmail.com 处理，核实后本网站将在24小时内删除侵权内容。