cari

Rumah >hujung hadapan web >tutorial js >Bagaimanakah Dasar Keselamatan Kandungan (CSP) melindungi tapak web daripada suntikan kod berniat jahat?

Bagaimanakah Dasar Keselamatan Kandungan (CSP) melindungi tapak web daripada suntikan kod berniat jahat?

Susan Sarandon
Susan Sarandonasal
2024-11-09 11:20:02675semak imbas

How does Content Security Policy (CSP) protect websites from malicious code injections?

Memahami Dasar Keselamatan Kandungan (CSP)

Ralat yang sering ditemui dalam konsol pembangun, seperti "Enggan...", adalah akibat daripada Dasar Keselamatan Kandungan (CSP), langkah keselamatan yang mengehadkan pemuatan sumber daripada sumber yang tidak dipercayai.

Bagaimana CSP Berfungsi?

CSP membolehkan anda mengawal dari mana sumber boleh dimuatkan. Anda menentukan sumber yang dibenarkan melalui arahan dalam pengepala HTTP Content-Security-Policy. Dengan menetapkan sekatan ini, anda meminimumkan risiko suntikan kod berniat jahat seperti serangan XSS.

Arahan

Arahan biasa termasuk:

  • default-src: Dasar lalai untuk memuatkan pelbagai sumber.
  • script-src: Mentakrifkan sumber yang sah untuk fail JavaScript.
  • style-src: Mentakrifkan sumber yang sah untuk fail CSS.
  • img-src: Mentakrifkan sah sumber untuk imej.
  • connect-src: Mentakrifkan sasaran yang sah untuk permintaan AJAX atau sambungan WebSocket.

Menggunakan CSP

1. Benarkan Berbilang Sumber:

content="default-src 'self' https://example.com/js/"

2. Tentukan Arahan Berbilang:

content="default-src 'self' https://example.com/js/; style-src 'self'"

3. Pengendalian Port:

content="default-src 'self' https://example.com:123/free/stuff/"

4. Mengendalikan Protokol Berbeza:

content="default-src 'self'; connect-src ws:; style-src 'self'"

5. Membenarkan Protokol Fail:

content="default-src filesystem"

6. Gaya Sebaris dan Skrip:

content="script-src 'unsafe-inline'; style-src 'unsafe-inline'"

7. Membenarkan eval():

content="script-src 'unsafe-eval'"

8. Maksud 'diri':
'diri' merujuk kepada sumber dengan skema, hos dan port yang sama seperti fail yang ditakrifkan dasar.

9. Amaran Wildcard:
Semasa menggoda, menggunakan content="default-src *" membenarkan tindakan berisiko tertentu seperti membenarkan skrip sebaris dan eval(). Untuk kerentanan sebenar, pertimbangkan:

content="default-src * 'unsafe-inline' 'unsafe-eval'"

Sumber

  • content-security-policy.com
  • ms.wikipedia.org/wiki/Content_Security_Policy

Atas ialah kandungan terperinci Bagaimanakah Dasar Keselamatan Kandungan (CSP) melindungi tapak web daripada suntikan kod berniat jahat?. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!

JavaScript css ajax xss define for while include using console default http websocket
Kenyataan:
Kandungan artikel ini disumbangkan secara sukarela oleh netizen, dan hak cipta adalah milik pengarang asal. Laman web ini tidak memikul tanggungjawab undang-undang yang sepadan. Jika anda menemui sebarang kandungan yang disyaki plagiarisme atau pelanggaran, sila hubungi admin@php.cn
Artikel sebelumnya:Borang dengan React Hook Form ZodArtikel seterusnya:Borang dengan React Hook Form Zod

Artikel berkaitan

Lihat lagi