コンテンツセキュリティポリシー(CSP):Webセキュリティに関する包括的なガイド
コンテンツセキュリティポリシー(CSP)は、コンテンツインジェクション攻撃、主にクロスサイトスクリプト(XSS)に対してWebサイトを保護する重要なセキュリティメカニズムです。 この宣言的なポリシーにより、開発者は信頼できるリソースの起源のホワイトリストを作成し、ブラウザがリソースをロードし、インラインスタイルとスクリプトを使用し、動的なJavaScript評価(eval()を使用するなど)を処理する方法を制御することができます。 このホワイトリストの外部からリソースをロードしようとする試みはブロックされています。
重要な概念:
- ホワイトリストアプローチ: cspは、許可されたソースを定義し、他のすべてをブロックすることで動作します。>
- httpヘッダー配信:ポリシーは、httpヘッダーを介して実装されています。
Content-Security-Policy - ディレクティブベースのコントロール:ヘッダーには、許可されたドメインを指定し、注入攻撃を防ぐためにJavaScriptの実行を制限する指令が含まれています。 違反の報告:
-
指令ログCSP違反、生産環境にはかけがえのない。 これにより、指定されたURLに違反を詳述するJSONレポートが送信されます。
report-uriどのようにCSPの仕組み:
W3C候補の推奨である cspは、ヘッダーを使用してディレクティブを提供します。 重要な指令には、
、、Content-Security-Policy、default-src、script-src、object-src、style-src、img-src、およびmedia-srcが含まれます。 frame-srcは、不特定の指示のためのフォールバックとして機能します
font-srcディレクティブは、一貫したパターンに従います:connect-src
default-src
:現在のドメインを参照してください。
- urlリスト:許可された起源を指定するスペース分離URL。
-
self:特定のディレクティブのロードリソースを禁止します(例えば、 - ブロックプラグイン)。
- 現在のドメインからのみリソースを許可する基本的なcsp:
noneobject-src 'none'別のドメインからロードしようとする試みは、コンソールメッセージを使用してブロックされます。 CSPは本質的にインラインスクリプトと動的なコード評価を制限し、注入リスクを大幅に軽減します。
<code>Content-Security-Policy: default-src 'self';</code>ドメインが指定されている間、パスは現在サポートされていません。 ただし、WildCards(
.mycdn.com`)。 各指令には、明示的なドメイン/サブドメインリストが必要です。彼らは以前の指令から継承しません
データURLの場合、指令にdata:を含めます(例:img-src 'data:')。 unsafe-inline(script-srcおよびstyle-src)は、インライン<script></script>および<style></style>タグを許可します。 どちらもオプトインポリシーを使用します。それらを省略すると、制限が強化されます
unsafe-evalscript-srcブラウザ互換性:
CSP 1.0は、互換性が限られている古いインターネットエクスプローラーバージョンで、幅広いブラウザのサポートを楽しんでいます。
:
で違反を監視します
開発ではブラウザコンソールのロギングを使用している間、生産環境はreport-uriの恩恵を受けます。これにより、違反の詳細(JSON形式)を含むHTTP投稿リクエストが指定されたURLに送信されます。
例:
report-uri違反(例:
。
<code>Content-Security-Policy: default-src 'self';</code>
ヘッダー:www.google-analytics.comreport-uri
を使用してください。 これは、リソースをブロックせずに違反を報告し、サイトの混乱なしに政策の改良を可能にします。 両方のヘッダーを同時に使用できます。
Content-Security-Policy-Report-OnlyCSPの実装:
Content-Security-Policy-Report-Only CSPはHTTPヘッダーを介して設定されています。 サーバー構成(Apache、IIS、nginx)またはプログラマティックメソッド(php's
)を使用できます。 実世界の例:
header()FacebookとTwitterは、ワイルドカードと特定のドメイン手当を利用して、多様なCSP実装を実証しています。
setHeader()
cspレベル2は、新しい指令(
、、
、、)、改善されたレポート、およびインラインスクリプトとスタイルの非CE/ハッシュベースの保護を紹介します。
非CEベースの保護: base-uri
child-srcランダムに生成されたノンセは、CSPヘッダーとインラインスクリプトタグの両方に含まれています。
form-actionframe-ancestorsハッシュベースの保護:plugin-types
サーバーは、CSPヘッダーに含まれるスクリプト/スタイルブロックのハッシュを計算します。ブラウザは、実行前にこのハッシュを検証します 結論:
CSPは、リソースの負荷を制御することにより、Webセキュリティを大幅に強化します。
監視が促進され、レベル2はさらに改良を導入します。 CSPの実装は、堅牢で安全なWebアプリケーションを構築する上で重要なステップです。 (注:画像プレースホルダーは、要求されているように変更されていません。)
以上がコンテンツセキュリティポリシーでWebセキュリティを改善しますの詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。
Deepseekへの最初のAndroidアクセスの背後:女性の力を見るMar 12, 2025 pm 12:27 PMAIの分野での中国の女性の技術力の台頭:Deepseekの女性の技術分野への貢献とのコラボレーションの背後にある物語は、ますます重要になっています。中国の科学技術省からのデータは、女性科学技術労働者の数が巨大であり、AIアルゴリズムの開発においてユニークな社会的価値感度を示していることを示しています。この記事では、携帯電話の名誉に焦点を当て、その背後にある女性チームの強さを探り、Deepseek Bigモデルに最初に接続し、技術の進歩を促進し、技術開発の価値座標系を再構築する方法を示します。 2024年2月8日、Honorは、Deepseek-R1 FullbloodバージョンのBig Modelを正式に立ち上げ、Android Campで最初のメーカーになり、Deepseekに接続し、ユーザーから熱狂的な反応を喚起しました。この成功の背後にある女性チームメンバーは、製品の決定、技術的なブレークスルー、ユーザーを行っています
Deepseekの「驚くべき」利益:理論的利益率は545%です!Mar 12, 2025 pm 12:21 PMDeepseekはZhihuに関する技術記事をリリースし、Deepseek-V3/R1推論システムを詳細に導入し、初めて主要な財務データを開示し、業界の注目を集めました。この記事は、システムの毎日のコストの利益率が545%に高いことを示しており、グローバルなAIビッグモデルの利益の新たな高値を設定しています。 Deepseekの低コスト戦略は、市場競争において有利になります。モデルトレーニングのコストは同様の製品の1%から5%であり、V3モデルトレーニングのコストはわずか5576百万米ドルであり、競合他社のコストよりもはるかに低くなっています。一方、R1のAPI価格設定は、Openaio3-Miniの1/7〜1/2です。これらのデータは、DeepSeekテクノロジールートの商業的実現可能性を証明し、AIモデルの効率的な収益性も確立します。
Mideaは、最初のDeepSeekエアコンを起動します。AIVoiceInteractionは400,000コマンドを達成できます!Mar 12, 2025 pm 12:18 PMMideaは、Deepseek Big Model -Midea Fresh and Clean Air Machine T6を装備した最初のエアコンをリリースします。このエアコンには、環境に応じて温度、湿度、風速などのパラメーターをインテリジェントに調整できる、高度な空気インテリジェントな駆動システムが装備されています。さらに重要なことは、DeepSeek Big Modelを統合し、400,000を超えるAI Voiceコマンドをサポートすることです。 Mideaの動きは、業界での激しい議論を引き起こし、特に白物と大規模なモデルを組み合わせることの重要性を懸念しています。従来のエアコンの単純な温度設定とは異なり、Midea Fresh and Clean Air Machine T6は、より複雑で曖昧な指示を理解し、家庭環境に従って湿度をインテリジェントに調整し、ユーザーエクスペリエンスを大幅に改善します。
2025年のトップ10のベスト無料バックリンクチェッカーツールMar 21, 2025 am 08:28 AMウェブサイトの構築は最初のステップに過ぎません:SEOとバックリンクの重要性 ウェブサイトを構築することは、それを貴重なマーケティング資産に変換するための最初のステップにすぎません。検索エンジンでのWebサイトの可視性を向上させ、潜在的な顧客を引き付けるために、SEO最適化を行う必要があります。バックリンクは、ウェブサイトのランキングを改善するための鍵であり、Googleや他の検索エンジンにWebサイトの権限と信頼性を示しています。 すべてのバックリンクが有益であるわけではありません:有害なリンクを特定して回避する すべてのバックリンクが有益であるわけではありません。有害なリンクはあなたのランキングに害を及ぼす可能性があります。優れた無料のバックリンクチェックツールは、ウェブサイトへのリンクのソースを監視し、有害なリンクを思い出させます。さらに、競合他社のリンク戦略を分析し、それらから学ぶこともできます。 無料のバックリンクチェックツール:SEOインテリジェンスオフィサー
Baiduの別の国の製品は、Deepseekに接続されていますか?Mar 12, 2025 pm 01:48 PMDeepSeek-R1はBaidu LibraryとNetDiskを支援します。深い思考と行動の完璧な統合は、わずか1か月で多くのプラットフォームに迅速に統合されました。大胆な戦略的レイアウトにより、BaiduはDeepSeekをサードパーティモデルのパートナーとして統合し、それをそのエコシステムに統合します。これは、「ビッグモデル検索」の生態学的戦略の大きな進歩を示しています。 Baidu SearchとWenxin Intelligent Intelligent Platformは、DeepSeekおよびWenxin Bigモデルの深い検索関数に最初に接続し、ユーザーに無料のAI検索エクスペリエンスを提供します。同時に、「Baiduに行くときにあなたが知っている」という古典的なスローガンとBaiduアプリの新しいバージョンは、WenxinのBig ModelとDeepseekの機能も統合し、「AI検索」と「ワイドネットワーク情報の改良」を起動します。
Web開発のための迅速なエンジニアリングMar 09, 2025 am 08:27 AMコード生成のAIプロンプトエンジニアリング:開発者ガイド コード開発の風景は、大きな変化を遂げています。 大規模な言語モデル(LLMS)と迅速なエンジニアリングのマスタリングは、今後数年間で開発者にとって非常に重要です。 th
GOでネットワークの脆弱性スキャナーを構築しますApr 01, 2025 am 08:27 AMこのGOベースのネットワーク脆弱性スキャナーは、潜在的なセキュリティの弱点を効率的に識別します。 Goの同時機能機能を速度で活用し、サービスの検出と脆弱性のマッチングが含まれます。その能力と倫理を探りましょう
ホットAIツール
Undresser.AI Undress
リアルなヌード写真を作成する AI 搭載アプリ
AI Clothes Remover
写真から衣服を削除するオンライン AI ツール。
Undress AI Tool
脱衣画像を無料で
Clothoff.io
AI衣類リムーバー
AI Hentai Generator
AIヘンタイを無料で生成します。
人気の記事
ホットツール
Safe Exam Browser
Safe Exam Browser は、オンライン試験を安全に受験するための安全なブラウザ環境です。このソフトウェアは、あらゆるコンピュータを安全なワークステーションに変えます。あらゆるユーティリティへのアクセスを制御し、学生が無許可のリソースを使用するのを防ぎます。
SublimeText3 Mac版
神レベルのコード編集ソフト(SublimeText3)
AtomエディタMac版ダウンロード
最も人気のあるオープンソースエディター
PhpStorm Mac バージョン
最新(2018.2.1)のプロフェッショナル向けPHP統合開発ツール
VSCode Windows 64 ビットのダウンロード
Microsoft によって発売された無料で強力な IDE エディター
ホットトピック
7403
15163014135852126825121829