컨텐츠 보안 정책 (CSP) : 웹 보안에 대한 포괄적 인 안내서
CSP (Content Security Policy)는 컨텐츠 주입 공격, 주로 XSS (Cross-Site Scripting)로부터 웹 사이트를 보호하는 중요한 보안 메커니즘입니다. 이 선언적 정책을 통해 개발자는 신뢰할 수있는 자원 기원의 화이트리스트를 만들 수 있으며 브라우저가 리소스를로드하고 인라인 스타일 및 스크립트를 사용하며 동적 자바 스크립트 평가 (예 :
)를 처리하는 방법을 제어 할 수 있습니다. 이 화이트리스트 외부에서 자원을로드하려는 시도는 차단됩니다.
주요 개념 : eval()
정책은 http 헤더를 통해 구현됩니다. 지시 기반 제어 : 헤더에는 허용 도메인을 지정하고 주입 공격을 방지하기 위해 JavaScript 실행 제한을 제한하는 지시문이 포함되어 있습니다. 위반보고 : 지시문은 CSP 위반으로 생산 환경에 귀중합니다. 위반을 지정된 URL에 자세히 설명하는 JSON 보고서를 보냅니다. CSP의 작동 방식 :
W3C 후보 권장 사항 인 CSP는- 헤더를 사용하여 지침을 제공합니다. 주요 지시문에는
- , , , , , , 및 가 포함됩니다. 지정되지 않은 지침의 폴백 역할을합니다 지시문은 일관된 패턴을 따릅니다 : 현재 도메인을 나타냅니다 URL 목록 : 허용 된 원산지를 지정하는 공간 구분 URL : 주어진 지침에 대한 자원을로드하는 것을 금지합니다 (예 : 블록 플러그인).
-
도메인이 지정된 동안 경로는 현재 지원되지 않습니다. 그러나 와일드 카드 ()는 하위 도메인 포함을 허용합니다 (예 :` .mycdn.com`). 각 지침은 명시적인 도메인/하위 도메인 목록이 필요합니다. 그들은 이전 지침에서 물려받지 않습니다. 데이터 URL의 경우는 지침에 를 포함합니다 (예 : ). ( 및 )는 인라인
data:및 태그를 허용하고 )은 동적 코드 평가를 가능하게합니다. 둘 다 옵트 인 정책을 사용합니다. 그것들을 생략하면 제한이 시행됩니다. 브라우저 호환성 :img-src 'data:'CSP 1.0은 광범위한 브라우저 지원을 즐깁니다. 구형 인터넷 익스플로러 버전은 호환성이 제한되어 있습니다.unsafe-inlinescript-src를 사용한 위반 모니터링 모니터링
개발은 브라우저 콘솔 로깅을 사용하는 반면, 생산 환경은style-src의 혜택을받습니다. 위반 세부 사항 (JSON 형식)이 포함 된 HTTP Post 요청을 지정된 URL에 보냅니다.<script></script>예 :<style></style>위반 (예 : 에서로드)은unsafe-eval로 전송 된 JSON 보고서를 생성합니다.script-src헤더 :테스트의 경우 를 사용하십시오. 이는 자원을 차단하지 않고 위반을보고하여 현장 중단없이 정책 개선을 허용합니다. 두 헤더 모두 동시에 사용할 수 있습니다 CSP 구현 : CSP는 HTTP 헤더를 통해 설정됩니다. 서버 구성 (APACHE, IIS, NGINX) 또는 프로그래밍 방식 (php 's , node.js's )을 사용할 수 있습니다.
실제 예제 :Facebook과 Twitter는 와일드 카드 및 특정 도메인 수당을 활용하여 다양한 CSP 구현을 보여줍니다. CSP 레벨 2 향상 :
CSP Level 2는 새로운 지시문 (,, , ,
비 세기 기반 보호 : 무작위로 생성 된 Nonce가 CSP 헤더와 인라인 스크립트 태그에 포함되어 있습니다. 해시 기반 보호 :report-uri), 개선 된보고 및 인라인 스크립트 및 스타일에 대한 Nonce/HASH 기반 보호를 소개합니다.
CSP는 리소스로드를 제어하여 웹 보안을 크게 향상시킵니다.서버는 CSP 헤더에 포함 된 스크립트/스타일 블록의 해시를 계산합니다. 브라우저는 실행하기 전에이 해시를 확인합니다 report-uri결론 :모니터링을 용이하게하고 레벨 2는 추가 개선을 도입합니다. CSP 구현은 강력하고 안전한 웹 애플리케이션을 구축하는 데 중요한 단계입니다. (참고 : 이미지 자리 표시자는 요청에 따라 변경되지 않았습니다.)
Content-Security-Policy
위 내용은 컨텐츠 보안 정책을 통한 웹 보안 개선의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!
Deepseek에 대한 첫 번째 안드로이드 액세스 뒤에 : 여성의 힘보기Mar 12, 2025 pm 12:27 PMAI 분야에서 중국 여성 기술력의 부상 : 기술 분야에 대한 Deepseek 여성의 기여와의 명예의 협력에 대한 이야기는 점점 더 중요 해지고 있습니다. 중국 과학 기술부의 데이터에 따르면 여성 과학 기술 노동자의 수는 거대하며 AI 알고리즘 개발에서 독특한 사회적 가치 민감도를 보여줍니다. 이 기사는 명예 휴대폰에 중점을두고 DeepSeek Big Model에 처음 연결 한 여성 팀의 강점을 탐구하여 기술 발전을 촉진하고 기술 개발의 가치 좌표 시스템을 재구성 할 수있는 방법을 보여줍니다. 2024 년 2 월 8 일, Honor는 공식적으로 DeepSeek-R1 전혈 버전 Big Model을 출시하여 Android 캠프에서 최초의 제조업체가되어 DeepSeek에 연결하여 사용자의 열정적 인 응답을 불러 일으켰습니다. 이 성공 뒤에 여성 팀원은 제품 결정, 기술 혁신 및 사용자를 만들고 있습니다.
DeepSeek의 '놀라운'이익 : 이론적 이익 마진은 545%정도입니다!Mar 12, 2025 pm 12:21 PMDeepSeek은 Zhihu에 대한 기술 기사를 발표하여 DeepSeek-V3/R1 추론 시스템을 자세히 소개하고 처음으로 주요 재무 데이터를 공개하여 업계의 관심을 끌었습니다. 이 기사는 시스템의 일일 비용 이익 마진이 545%로 높아 글로벌 AI Big Model 이익이 새로운 것으로 나타났습니다. DeepSeek의 저렴한 전략은 시장 경쟁에서 이점을 제공합니다. 모델 교육 비용은 유사한 제품의 1% -5%에 불과하며 V3 모델 교육 비용은 경쟁 업체의 비용보다 훨씬 낮으며 V3 모델 교육 비용은 5 억 5,760 만 달러에 불과합니다. 한편, R1의 API 가격은 Openaio3-Mini의 1/7에서 1/2에 불과합니다. 이 데이터는 DeepSeek 기술 경로의 상업적 타당성을 입증하고 AI 모델의 효율적인 수익성을 확립합니다.
2025 년 최고의 무료 백 링크 체커 도구Mar 21, 2025 am 08:28 AM웹 사이트 구성은 첫 번째 단계입니다 : SEO 및 백 링크의 중요성 웹 사이트 구축은 웹 사이트를 귀중한 마케팅 자산으로 전환하는 첫 번째 단계 일뿐입니다. 검색 엔진에서 웹 사이트의 가시성을 향상시키고 잠재 고객을 유치하려면 SEO 최적화를 수행해야합니다. 백 링크는 웹 사이트 순위를 향상시키는 열쇠이며 Google 및 기타 검색 엔진에 웹 사이트의 권한 및 신뢰성을 보여줍니다. 모든 백 링크가 유리한 것은 아닙니다. 유해한 링크를 식별하고 피하십시오. 모든 백 링크가 유익한 것은 아닙니다. 유해한 링크는 순위에 해를 끼칠 수 있습니다. 우수한 무료 백 링크 확인 도구는 웹 사이트 링크 소스를 모니터링하고 유해한 링크를 상기시킵니다. 또한 경쟁 업체의 링크 전략을 분석하고 배울 수도 있습니다. 무료 백 링크 점검 도구 : SEO 인텔리전스 책임자
Midea는 첫 번째 Deepseek 에어컨을 시작합니다. AI 음성 상호 작용은 40 만 명령을 달성 할 수 있습니다!Mar 12, 2025 pm 12:18 PMMIDEA는 곧 Deepseek Big Model -Midea Fresh and Clean Air Machine T6을 갖춘 최초의 에어컨을 출시 할 예정입니다. 이 에어컨에는 고급 공기 지능형 주행 시스템이 장착되어있어 환경에 따라 온도, 습도 및 풍속과 같은 매개 변수를 지능적으로 조정할 수 있습니다. 더 중요한 것은 DeepSeek Big 모델을 통합하고 400,000 개 이상의 AI 음성 명령을 지원합니다. Midea의 움직임은 업계에서 격렬한 토론을 일으켰으며 특히 백색 제품과 대형 모델을 결합하는 중요성에 대해 우려하고 있습니다. 전통적인 에어컨의 간단한 온도 설정과 달리 MIDEA Fresh and Clean Air Machine T6은 가정 환경에 따라보다 복잡하고 모호한 지침을 이해하고 습도를 지능적으로 조정하여 사용자 경험을 크게 향상시킬 수 있습니다.
Baidu의 다른 국가 제품은 Deepseek과 연결되어 있습니까?Mar 12, 2025 pm 01:48 PMDeepSeek-R1은 Baidu Library 및 NetDisk에 권한을 부여합니다. 심도있는 사고와 행동의 완벽한 통합은 단 한 달 만에 많은 플랫폼에 빠르게 통합되었습니다. 대담한 전략적 레이아웃을 통해 Baidu는 DeepSeek을 타사 모델 파트너로 통합하여이를 생태계에 통합하여 "큰 모델 검색"생태 전략의 주요 진전을 나타냅니다. Baidu Search 및 Wenxin Intelligent Intelligent 플랫폼은 DeepSeek 및 Wenxin Big Model의 깊은 검색 기능에 처음으로 연결하여 사용자에게 무료 AI 검색 경험을 제공합니다. 동시에 "Baidu로 갈 때 알게 될 것입니다"라는 클래식 슬로건과 새로운 버전의 Baidu 앱은 Wenxin의 큰 모델과 DeepSeek의 기능을 통합하여 "AI Search"및 "Wide Network Information Refinement"를 시작합니다.
웹 개발을위한 신속한 엔지니어링Mar 09, 2025 am 08:27 AM코드 생성을위한 AI 프롬프트 엔지니어링 : 개발자 안내서 코드 개발의 풍경은 상당한 변화를 위해 준비되어 있습니다. LLM (Large Language Model)과 신속한 엔지니어링을 마스터하는 것이 향후 몇 년 동안 개발자에게 중요 할 것입니다. th
GO와 함께 네트워크 취약성 스캐너 구축Apr 01, 2025 am 08:27 AM이 GO 기반 네트워크 취약점 스캐너는 잠재적 보안 약점을 효율적으로 식별합니다. 속도를 위해 Go의 동시성 기능을 활용하고 서비스 감지 및 취약성 일치를 포함합니다. 그 능력과 윤리를 탐색합시다
핫 AI 도구
Undresser.AI Undress
사실적인 누드 사진을 만들기 위한 AI 기반 앱
AI Clothes Remover
사진에서 옷을 제거하는 온라인 AI 도구입니다.
Undress AI Tool
무료로 이미지를 벗다
Clothoff.io
AI 옷 제거제
AI Hentai Generator
AI Hentai를 무료로 생성하십시오.
인기 기사
뜨거운 도구
ZendStudio 13.5.1 맥
강력한 PHP 통합 개발 환경
Eclipse용 SAP NetWeaver 서버 어댑터
Eclipse를 SAP NetWeaver 애플리케이션 서버와 통합합니다.
에디트플러스 중국어 크랙 버전
작은 크기, 구문 강조, 코드 프롬프트 기능을 지원하지 않음
DVWA
DVWA(Damn Vulnerable Web App)는 매우 취약한 PHP/MySQL 웹 애플리케이션입니다. 주요 목표는 보안 전문가가 법적 환경에서 자신의 기술과 도구를 테스트하고, 웹 개발자가 웹 응용 프로그램 보안 프로세스를 더 잘 이해할 수 있도록 돕고, 교사/학생이 교실 환경 웹 응용 프로그램에서 가르치고 배울 수 있도록 돕는 것입니다. 보안. DVWA의 목표는 다양한 난이도의 간단하고 간단한 인터페이스를 통해 가장 일반적인 웹 취약점 중 일부를 연습하는 것입니다. 이 소프트웨어는
Atom Editor Mac 버전 다운로드
가장 인기 있는 오픈 소스 편집기
