Périphériques technologiquesIndustrie informatiqueAmélioration de la sécurité Web avec la politique de sécurité du contenu
Politique de sécurité du contenu (CSP): un guide complet de la sécurité du Web
La politique de sécurité du contenu (CSP) est un mécanisme de sécurité crucial de sauvegarde des sites Web contre les attaques d'injection de contenu, principalement des scripts inter-sites (XSS). Cette politique déclarative permet aux développeurs de créer une liste blanche d'origine de ressources de confiance, contrôlant comment le navigateur charge les ressources, utilise des styles et scripts en ligne et gère l'évaluation dynamique JavaScript (par exemple, en utilisant eval()). Toute tentative de chargement des ressources de l'extérieur de cette liste blanche est bloquée.
Concepts clés:
- Approche en liste blanche: CSP fonctionne en définissant des sources autorisées, en bloquant tout le reste.
- HTTP En-tête de livraison: La politique est mise en œuvre via l'en-tête
Content-Security-Policyhttp. - Contrôle basé sur la directive: L'en-tête contient des directives spécifiant les domaines autorisés et restreignant l'exécution JavaScript pour empêcher les attaques d'injection.
- Rapports de violation: Les violations CSP des journaux de directifs de la directive, inestimables pour les environnements de production. Cela envoie un rapport JSON détaillant la violation à une URL spécifiée.
report-uri
Comment fonctionne CSP:
CSP, une recommandation candidate W3C, utilise l'en-tête pour livrer des directives. Les directives clés incluent: Content-Security-Policy, default-src, script-src, object-src, style-src, img-src, media-src, frame-src et font-src. connect-src agit comme un repli pour les directives non spécifiées. default-src
- : fait référence au domaine actuel.
self Liste des URL: URL séparés dans l'espace spécifiant les origines autorisées. - : interdit de charger des ressources pour une directive donnée (par exemple,
nonebloque les plugins).object-src 'none'
<code>Content-Security-Policy: default-src 'self';</code>Toute tentative de chargement à partir d'un autre domaine est bloquée, avec un message de console. Le CSP restreint intrinsèquement les scripts en ligne et l'évaluation du code dynamique, atténuant considérablement les risques d'injection.
), cependant, permettent l'inclusion du sous-domaine (par exemple, ` .mycdn.com`). Chaque directive nécessite une liste explicite de domaine / sous-domaine; Ils n'héritent pas des directives précédentes.
pour les URL de données, incluez data: dans la directive (par exemple, img-src 'data:'). unsafe-inline (pour script-src et style-src) Permet les balises en ligne <script></script> et <style></style>, et unsafe-eval (pour script-src) permet une évaluation du code dynamique. Les deux utilisent des politiques opt-in; leur omettre applique des restrictions.
Compatibilité du navigateur:
CSP 1.0 bénéficie d'un large support de navigateur, avec des versions d'anciennes explorateurs Internet ayant une compatibilité limitée.
Surveillance des violations avec report-uri:
Alors que le développement utilise la journalisation de la console de navigateur, les environnements de production bénéficient de report-uri. Cela envoie des demandes de poste HTTP contenant les détails de violation (au format JSON) à une URL spécifiée.
Exemple:
<code>Content-Security-Policy: default-src 'self';</code>
Une violation (par exemple, le chargement de www.google-analytics.com) génère un rapport JSON envoyé au report-uri.
Content-Security-Policy-Report-Only En-tête:
Pour les tests, utilisez Content-Security-Policy-Report-Only. Cela rapporte des violations sans bloquer les ressources, autorisant le raffinement des politiques sans perturbation du site. Les deux en-têtes peuvent être utilisés simultanément.
Implémentation de CSP:
CSP est défini via l'en-tête HTTP. La configuration du serveur (apache, iis, nginx) ou méthodes programmatiques (PHP header(), Node.js's setHeader()) peut être utilisée.
Exemples du monde réel:
Facebook et Twitter démontrent diverses implémentations CSP, en utilisant les jarquettes et des allocations de domaine spécifiques.
CSP Niveau 2 Améliorations:
CSP Level 2 introduit de nouvelles directives (base-uri, child-src, form-action, frame-ancestors, plugin-types), des rapports améliorés et une protection non basée sur le hachage pour les scripts et styles en ligne.
Protection non basée sur les non -ce:
Un nonce généré de manière aléatoire est inclus à la fois dans l'en-tête CSP et la balise de script en ligne.
Protection basée sur le hachage:
Le serveur calcule le hachage du bloc de script / style, inclus dans l'en-tête CSP. Le navigateur vérifie ce hachage avant l'exécution.
Conclusion:
CSP améliore considérablement la sécurité Web en contrôlant le chargement des ressources. report-uri facilite la surveillance et le niveau 2 introduit des raffinements supplémentaires. La mise en œuvre du CSP est une étape essentielle dans la création d'applications Web robustes et sécurisées.
(Remarque: Les espaces réservés d'image restent inchangés comme demandé.)
Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!
Derrière le premier accès Android à Deepseek: voir le pouvoir des femmesMar 12, 2025 pm 12:27 PMLa montée en puissance du pouvoir technologique des femmes chinoises dans le domaine de l'IA: l'histoire de la collaboration d'honneur avec la contribution des femmes en profondeur au domaine de la technologie devient de plus en plus significative. Les données du ministère des Sciences et de la Technologie de la Chine montrent que le nombre de travailleuses scientifiques et technologiques est énorme et montre une sensibilité à la valeur sociale unique dans le développement des algorithmes d'IA. Cet article se concentrera sur l'honneur des téléphones mobiles et explorera la force de l'équipe féminine derrière qu'elle soit la première à se connecter au grand modèle Deepseek, montrant comment ils peuvent promouvoir le progrès technologique et remodeler le système de coordonnées de valeur de développement technologique. Le 8 février 2024, Honor a officiellement lancé le Big Model de Deepseek-R1, devenant le premier fabricant du camp Android à se connecter à Deepseek, excitant la réponse enthousiaste des utilisateurs. Dant ce succès, les membres de l'équipe féminine prennent des décisions de produits, des percées techniques et des utilisateurs
Le profit 'incroyable' de Deepseek: la marge bénéficiaire théorique est aussi élevée que 545%!Mar 12, 2025 pm 12:21 PMDeepseek a publié un article technique sur Zhihu, présentant en détail son système d'inférence Deepseek-V3 / R1, et a révélé pour la première fois des données financières clés, ce qui a attiré l'attention de l'industrie. L'article montre que la marge de bénéfice des coûts quotidiens du système atteint 545%, ce qui établit un nouveau profit mondial dans le modèle mondial de l'IA. La stratégie à faible coût de Deepseek lui donne un avantage dans la concurrence du marché. Le coût de sa formation sur modèle n'est que de 1% à 5% des produits similaires, et le coût de la formation du modèle V3 n'est que de 5,576 millions de dollars, bien inférieur à celui de ses concurrents. Pendant ce temps, la tarification de l'API de R1 n'est que de 1/7 à 1/2 d'Openaio3-MinI. Ces données prouvent la faisabilité commerciale de la voie technologique profonde et établissent également la rentabilité efficace des modèles d'IA.
Top 10 des meilleurs outils de vérificateur de backlink gratuit en 2025Mar 21, 2025 am 08:28 AMLa construction du site Web n'est que la première étape: l'importance du référencement et des backlinks La construction d'un site Web n'est que la première étape pour la convertir en un actif marketing précieux. Vous devez faire l'optimisation du référencement pour améliorer la visibilité de votre site Web dans les moteurs de recherche et attirer des clients potentiels. Les backlinks sont la clé pour améliorer le classement de votre site Web, et il montre à Google et à d'autres moteurs de recherche l'autorité et la crédibilité de votre site Web. Tous les backlinks ne sont pas bénéfiques: identifier et éviter les liens nocifs Tous les backlinks ne sont pas bénéfiques. Les liens nocifs peuvent nuire à votre classement. Excellent outil de vérification de la liaison backlink gratuite surveille la source des liens vers votre site Web et vous rappelle les liens nuisibles. De plus, vous pouvez également analyser les stratégies de liaison de vos concurrents et en apprendre. Outil de vérification gratuite de backlink: votre agent de renseignement SEO
Midea lance son premier climatiseur Deepseek: l'interaction vocale AI peut réaliser 400 000 commandes!Mar 12, 2025 pm 12:18 PMMIDEA publiera bientôt son premier climatiseur équipé d'un grand modèle Deepseek - MIDEA Fresh and Clean Air Machine T6. Ce climatiseur est équipé d'un système de conduite intelligent avancé, qui peut ajuster intelligemment les paramètres tels que la température, l'humidité et la vitesse du vent en fonction de l'environnement. Plus important encore, il intègre le grand modèle Deepseek et prend en charge plus de 400 000 commandes vocales AI. La décision de Midea a provoqué des discussions animées dans l'industrie et est particulièrement préoccupé par l'importance de la combinaison de produits blancs et de grands modèles. Contrairement aux paramètres de température simples des climatiseurs traditionnels, MIDEA Fresh Air Machine T6 peut comprendre des instructions plus complexes et vagues et ajuster intelligemment l'humidité en fonction de l'environnement familial, améliorant considérablement l'expérience utilisateur.
Un autre produit national de Baidu est lié à Deepseek.Mar 12, 2025 pm 01:48 PMDeepseek-R1 autorise la bibliothèque Baidu et NetDisk: L'intégration parfaite de la pensée et de l'action profondes s'est rapidement intégrée à de nombreuses plateformes en seulement un mois. Avec sa disposition stratégique audacieuse, Baidu intègre Deepseek en tant que partenaire modèle tiers et l'intégre dans son écosystème, qui marque un progrès majeur dans sa stratégie écologique de "Big Model Search". Baidu Search et Wenxin Intelligent Intelligent Platform sont les premiers à se connecter aux fonctions de recherche profonde des grands modèles Deepseek et Wenxin, offrant aux utilisateurs une expérience de recherche IA gratuite. Dans le même temps, le slogan classique de "Vous saurez quand vous allez à Baidu", et la nouvelle version de l'application Baidu intègre également les capacités du Big Model et Deepseek de Wenxin, lançant "AI Search" et "Wide Network Information Raffinement"
Construire un scanner de vulnérabilité de réseau avec GoApr 01, 2025 am 08:27 AMCe scanner de vulnérabilité de réseau basé sur GO identifie efficacement les faiblesses de sécurité potentielles. Il exploite les fonctionnalités de concurrence de GO pour la vitesse et comprend la détection de services et la correspondance de vulnérabilité. Explorons ses capacités et ses éthiques
Ingénierie rapide pour le développement WebMar 09, 2025 am 08:27 AMIngénierie rapide de l'IA pour la génération de code: guide d'un développeur Le paysage du développement du code est prêt pour un changement significatif. La maîtrise des modèles de grande langue (LLMS) et de l'ingénierie rapide sera crucial pour les développeurs dans les années à venir. Ème
Outils d'IA chauds
Undresser.AI Undress
Application basée sur l'IA pour créer des photos de nu réalistes
AI Clothes Remover
Outil d'IA en ligne pour supprimer les vêtements des photos.
Undress AI Tool
Images de déshabillage gratuites
Clothoff.io
Dissolvant de vêtements AI
AI Hentai Generator
Générez AI Hentai gratuitement.
Article chaud
Outils chauds
MinGW - GNU minimaliste pour Windows
Ce projet est en cours de migration vers osdn.net/projects/mingw, vous pouvez continuer à nous suivre là-bas. MinGW : un port Windows natif de GNU Compiler Collection (GCC), des bibliothèques d'importation et des fichiers d'en-tête librement distribuables pour la création d'applications Windows natives ; inclut des extensions du runtime MSVC pour prendre en charge la fonctionnalité C99. Tous les logiciels MinGW peuvent fonctionner sur les plates-formes Windows 64 bits.
Navigateur d'examen sécurisé
Safe Exam Browser est un environnement de navigation sécurisé permettant de passer des examens en ligne en toute sécurité. Ce logiciel transforme n'importe quel ordinateur en poste de travail sécurisé. Il contrôle l'accès à n'importe quel utilitaire et empêche les étudiants d'utiliser des ressources non autorisées.
Adaptateur de serveur SAP NetWeaver pour Eclipse
Intégrez Eclipse au serveur d'applications SAP NetWeaver.
SublimeText3 version anglaise
Recommandé : version Win, prend en charge les invites de code !
mPDF
mPDF est une bibliothèque PHP qui peut générer des fichiers PDF à partir de HTML encodé en UTF-8. L'auteur original, Ian Back, a écrit mPDF pour générer des fichiers PDF « à la volée » depuis son site Web et gérer différentes langues. Il est plus lent et produit des fichiers plus volumineux lors de l'utilisation de polices Unicode que les scripts originaux comme HTML2FPDF, mais prend en charge les styles CSS, etc. et présente de nombreuses améliorations. Prend en charge presque toutes les langues, y compris RTL (arabe et hébreu) et CJK (chinois, japonais et coréen). Prend en charge les éléments imbriqués au niveau du bloc (tels que P, DIV),
