Bagaimanakah Dasar Keselamatan Kandungan (CSP) Menghalang Serangan XSS?

Cara Dasar Keselamatan Kandungan (CSP) Berfungsi

Keliru dengan ralat seperti "Enggan menilai rentetan" dan "Enggan melaksanakan skrip sebaris "? Mari kita mendalami cara kerja Dasar Keselamatan Kandungan (CSP), langkah keselamatan penting yang melindungi daripada serangan XSS.

Konsep Asas

CSP mengehadkan tempat sumber boleh dimuatkan daripada, menghalang pelayar daripada mengambil data daripada sumber yang tidak dibenarkan. Dengan mentakrifkan sumber yang dibenarkan, CSP mengurangkan risiko suntikan kod berniat jahat.

Menambah Arahan CSP

CSP dilaksanakan menggunakan pengepala HTTP Content-Security-Policy, yang mengandungi arahan yang mentakrifkan asal dan dasar yang dibenarkan. Contoh mudah ialah:

<meta http-equiv="Content-Security-Policy" content="default-src 'self'; script-src 'self' https://example.com;">

Arahan

Arahan yang paling biasa termasuk:

• default-src: Dasar lalai untuk semua sumber kecuali skrip, imej dan permintaan AJAX.
• skrip-src: Mentakrifkan sah sumber untuk skrip.
• style-src: Mentakrifkan sumber yang sah untuk stylesheet.
• img-src: Mentakrifkan sumber yang sah untuk imej.
• connect-src: Mentakrifkan sasaran yang sah untuk Permintaan AJAX, WebSockets, dan EventSource.

Berbilang Sumber dan Arahan

• Benarkan berbilang sumber dengan menyenaraikannya sebagai senarai yang dipisahkan ruang dalam arahan, cth.: lalai- src 'self' https://example.com/js/.
• Gunakan berbilang arahan dengan memisahkannya dengan koma bertitik dalam teg yang sama, cth.: content="default-src 'self'; script-src 'self'".

Mengendalikan Protokol dan Port

• Tentukan port secara eksplisit dengan menambahkannya pada domain yang dibenarkan, cth.: default-src 'self' https://example.com:8080.
• Benarkan semua port dengan menggunakan asterisk, cth.: default-src 'self' https://example.com:*.
• Untuk membenarkan protokol fail, gunakan parameter sistem fail, cth: default-src 'self' sistem fail:.

Skrip dan Gaya Sebaris

• Secara lalai, kandungan sebaris disekat. Untuk membenarkannya, gunakan parameter 'unsafe-inline', cth.: script-src 'unsafe-inline'.

Membenarkan 'eval()'

• Gunakan parameter 'unsafe-eval' untuk membenarkan pelaksanaan 'eval()', mis.: script-src 'unsafe-eval'.

Makna 'Diri'

• 'Diri' merujuk kepada sumber dengan protokol yang sama, hos, dan port sebagai halaman di mana dasar ditakrifkan.

Mengatasi 'default-src *' Kerentanan

Walaupun membenarkan semua sumber (default-src *) mungkin kelihatan mudah, ia tidak selamat dan sebenarnya tidak membenarkan kandungan sebaris atau penilaian. Elakkan menggunakannya.

Atas ialah kandungan terperinci Bagaimanakah Dasar Keselamatan Kandungan (CSP) Menghalang Serangan XSS?. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!