Wie verhindert die Content Security Policy (CSP) XSS-Angriffe?

Funktionsweise der Content Security Policy (CSP)

Verwirrt durch Fehler wie „Die Auswertung einer Zeichenfolge wurde abgelehnt“ und „Die Ausführung eines Inline-Skripts wurde abgelehnt „? Lassen Sie uns in die Funktionsweise der Content Security Policy (CSP) eintauchen, einer entscheidenden Sicherheitsmaßnahme, die vor XSS-Angriffen schützt.

Grundkonzept

CSP schränkt ein, wo Ressourcen geladen werden können Dadurch wird verhindert, dass Browser Daten aus nicht autorisierten Quellen abrufen. Durch die Definition der zulässigen Quellen reduziert CSP das Risiko der Einschleusung von Schadcode.

Hinzufügen von CSP-Anweisungen

CSP wird mithilfe des HTTP-Headers Content-Security-Policy implementiert enthält Anweisungen, die zulässige Ursprünge und Richtlinien definieren. Ein einfaches Beispiel wäre:

<meta http-equiv="Content-Security-Policy" content="default-src 'self'; script-src 'self' https://example.com;">

Anweisungen

Zu den häufigsten Anweisungen gehören:

• default-src: Standardrichtlinie für alle Ressourcen außer Skripten, Bildern und AJAX-Anfragen.
• script-src: Definiert gültige Quellen für Skripte.
• style-src: Definiert gültige Quellen für Stylesheets.
• img -src: Definiert gültige Quellen für Bilder.
• connect-src: Definiert gültige Ziele für AJAX-Anfragen, WebSockets und EventSource.

Mehrere Quellen und Anweisungen

• Erlauben Sie mehrere Quellen, indem Sie sie als durch Leerzeichen getrennte Liste innerhalb der Direktive auflisten, z. B.: default-src 'self' https://example.com/js/.
• Verwenden Sie mehrere Anweisungen, indem Sie sie durch Semikolons innerhalb desselben Tags trennen, z. B.: content="default-src 'self'; script-src 'self'".

Handling Protocols and Ports

• Geben Sie Ports explizit an, indem Sie sie an die zulässige Domäne anhängen, z. B.: default-src 'self' https://example.com:8080.
• Alle Ports zulassen durch mit einem Sternchen, z. B.: default-src 'self' https://example.com:*.
• Um das Dateiprotokoll zuzulassen, verwenden Sie den Dateisystemparameter, z. B.: default-src 'self' filesystem:.

Inline-Skripte und -Stile

• Inline-Inhalte sind standardmäßig blockiert. Um dies zuzulassen, verwenden Sie den Parameter „unsafe-inline“, z. B.: script-src „unsafe-inline“.

„eval()“ zulassen

• Verwenden Sie den Parameter „unsafe-eval“, um die Ausführung von „eval()“ zu ermöglichen, z. B.: script-src „unsafe-eval“.

„Selbst“-Bedeutung

• „Selbst“ bezieht sich auf Ressourcen mit demselben Protokoll, demselben Host und demselben Port wie die Seite, auf der die Richtlinie definiert ist.

Adressierung der „Standardeinstellung“. -src *' Sicherheitslücke

Das Zulassen aller Quellen (default-src *) mag zwar praktisch erscheinen, ist aber unsicher und erlaubt eigentlich keine Inline-Inhalte oder Auswertungen. Vermeiden Sie die Verwendung.

Das obige ist der detaillierte Inhalt vonWie verhindert die Content Security Policy (CSP) XSS-Angriffe?. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!