


Cara Dasar Keselamatan Kandungan (CSP) Berfungsi
Keliru dengan ralat seperti "Enggan menilai rentetan" dan "Enggan melaksanakan skrip sebaris "? Mari kita mendalami cara kerja Dasar Keselamatan Kandungan (CSP), langkah keselamatan penting yang melindungi daripada serangan XSS.
Konsep Asas
CSP mengehadkan tempat sumber boleh dimuatkan daripada, menghalang pelayar daripada mengambil data daripada sumber yang tidak dibenarkan. Dengan mentakrifkan sumber yang dibenarkan, CSP mengurangkan risiko suntikan kod berniat jahat.
Menambah Arahan CSP
CSP dilaksanakan menggunakan pengepala HTTP Content-Security-Policy, yang mengandungi arahan yang mentakrifkan asal dan dasar yang dibenarkan. Contoh mudah ialah:
<meta http-equiv="Content-Security-Policy" content="default-src 'self'; script-src 'self' https://example.com;">
Arahan
Arahan yang paling biasa termasuk:
- default-src: Dasar lalai untuk semua sumber kecuali skrip, imej dan permintaan AJAX.
- skrip-src: Mentakrifkan sah sumber untuk skrip.
- style-src: Mentakrifkan sumber yang sah untuk stylesheet.
- img-src: Mentakrifkan sumber yang sah untuk imej.
- connect-src: Mentakrifkan sasaran yang sah untuk Permintaan AJAX, WebSockets, dan EventSource.
Berbilang Sumber dan Arahan
- Benarkan berbilang sumber dengan menyenaraikannya sebagai senarai yang dipisahkan ruang dalam arahan, cth.: lalai- src 'self' https://example.com/js/.
- Gunakan berbilang arahan dengan memisahkannya dengan koma bertitik dalam teg yang sama, cth.: content="default-src 'self'; script-src 'self'".
Mengendalikan Protokol dan Port
- Tentukan port secara eksplisit dengan menambahkannya pada domain yang dibenarkan, cth.: default-src 'self' https://example.com:8080.
- Benarkan semua port dengan menggunakan asterisk, cth.: default-src 'self' https://example.com:*.
- Untuk membenarkan protokol fail, gunakan parameter sistem fail, cth: default-src 'self' sistem fail:.
Skrip dan Gaya Sebaris
- Secara lalai, kandungan sebaris disekat. Untuk membenarkannya, gunakan parameter 'unsafe-inline', cth.: script-src 'unsafe-inline'.
Membenarkan 'eval()'
- Gunakan parameter 'unsafe-eval' untuk membenarkan pelaksanaan 'eval()', mis.: script-src 'unsafe-eval'.
Makna 'Diri'
- 'Diri' merujuk kepada sumber dengan protokol yang sama, hos, dan port sebagai halaman di mana dasar ditakrifkan.
Mengatasi 'default-src *' Kerentanan
Walaupun membenarkan semua sumber (default-src *) mungkin kelihatan mudah, ia tidak selamat dan sebenarnya tidak membenarkan kandungan sebaris atau penilaian. Elakkan menggunakannya.
Atas ialah kandungan terperinci Bagaimanakah Dasar Keselamatan Kandungan (CSP) Menghalang Serangan XSS?. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!

Python dan JavaScript mempunyai kelebihan dan kekurangan mereka sendiri dari segi komuniti, perpustakaan dan sumber. 1) Komuniti Python mesra dan sesuai untuk pemula, tetapi sumber pembangunan depan tidak kaya dengan JavaScript. 2) Python berkuasa dalam bidang sains data dan perpustakaan pembelajaran mesin, sementara JavaScript lebih baik dalam perpustakaan pembangunan dan kerangka pembangunan depan. 3) Kedua -duanya mempunyai sumber pembelajaran yang kaya, tetapi Python sesuai untuk memulakan dengan dokumen rasmi, sementara JavaScript lebih baik dengan MDNWebDocs. Pilihan harus berdasarkan keperluan projek dan kepentingan peribadi.

Peralihan dari C/C ke JavaScript memerlukan menyesuaikan diri dengan menaip dinamik, pengumpulan sampah dan pengaturcaraan asynchronous. 1) C/C adalah bahasa yang ditaip secara statik yang memerlukan pengurusan memori manual, manakala JavaScript ditaip secara dinamik dan pengumpulan sampah diproses secara automatik. 2) C/C perlu dikumpulkan ke dalam kod mesin, manakala JavaScript adalah bahasa yang ditafsirkan. 3) JavaScript memperkenalkan konsep seperti penutupan, rantaian prototaip dan janji, yang meningkatkan keupayaan pengaturcaraan fleksibiliti dan asynchronous.

Enjin JavaScript yang berbeza mempunyai kesan yang berbeza apabila menguraikan dan melaksanakan kod JavaScript, kerana prinsip pelaksanaan dan strategi pengoptimuman setiap enjin berbeza. 1. Analisis leksikal: Menukar kod sumber ke dalam unit leksikal. 2. Analisis Tatabahasa: Menjana pokok sintaks abstrak. 3. Pengoptimuman dan Penyusunan: Menjana kod mesin melalui pengkompil JIT. 4. Jalankan: Jalankan kod mesin. Enjin V8 mengoptimumkan melalui kompilasi segera dan kelas tersembunyi, Spidermonkey menggunakan sistem kesimpulan jenis, menghasilkan prestasi prestasi yang berbeza pada kod yang sama.

Aplikasi JavaScript di dunia nyata termasuk pengaturcaraan sisi pelayan, pembangunan aplikasi mudah alih dan Internet of Things Control: 1. Pengaturcaraan sisi pelayan direalisasikan melalui node.js, sesuai untuk pemprosesan permintaan serentak yang tinggi. 2. Pembangunan aplikasi mudah alih dijalankan melalui reaktnatif dan menyokong penggunaan silang platform. 3. Digunakan untuk kawalan peranti IoT melalui Perpustakaan Johnny-Five, sesuai untuk interaksi perkakasan.

Saya membina aplikasi SaaS multi-penyewa berfungsi (aplikasi edTech) dengan alat teknologi harian anda dan anda boleh melakukan perkara yang sama. Pertama, apakah aplikasi SaaS multi-penyewa? Aplikasi SaaS Multi-penyewa membolehkan anda melayani beberapa pelanggan dari Sing

Artikel ini menunjukkan integrasi frontend dengan backend yang dijamin oleh permit, membina aplikasi edtech SaaS yang berfungsi menggunakan Next.Js. Frontend mengambil kebenaran pengguna untuk mengawal penglihatan UI dan memastikan permintaan API mematuhi dasar peranan

JavaScript adalah bahasa utama pembangunan web moden dan digunakan secara meluas untuk kepelbagaian dan fleksibiliti. 1) Pembangunan front-end: Membina laman web dinamik dan aplikasi satu halaman melalui operasi DOM dan kerangka moden (seperti React, Vue.js, sudut). 2) Pembangunan sisi pelayan: Node.js menggunakan model I/O yang tidak menyekat untuk mengendalikan aplikasi konkurensi tinggi dan masa nyata. 3) Pembangunan aplikasi mudah alih dan desktop: Pembangunan silang platform direalisasikan melalui reaktnatif dan elektron untuk meningkatkan kecekapan pembangunan.

Trend terkini dalam JavaScript termasuk kebangkitan TypeScript, populariti kerangka dan perpustakaan moden, dan penerapan webassembly. Prospek masa depan meliputi sistem jenis yang lebih berkuasa, pembangunan JavaScript, pengembangan kecerdasan buatan dan pembelajaran mesin, dan potensi pengkomputeran IoT dan kelebihan.


Alat AI Hot

Undresser.AI Undress
Apl berkuasa AI untuk mencipta foto bogel yang realistik

AI Clothes Remover
Alat AI dalam talian untuk mengeluarkan pakaian daripada foto.

Undress AI Tool
Gambar buka pakaian secara percuma

Clothoff.io
Penyingkiran pakaian AI

AI Hentai Generator
Menjana ai hentai secara percuma.

Artikel Panas

Alat panas

SublimeText3 versi Cina
Versi Cina, sangat mudah digunakan

Penyesuai Pelayan SAP NetWeaver untuk Eclipse
Integrasikan Eclipse dengan pelayan aplikasi SAP NetWeaver.

Dreamweaver Mac版
Alat pembangunan web visual

Pelayar Peperiksaan Selamat
Pelayar Peperiksaan Selamat ialah persekitaran pelayar selamat untuk mengambil peperiksaan dalam talian dengan selamat. Perisian ini menukar mana-mana komputer menjadi stesen kerja yang selamat. Ia mengawal akses kepada mana-mana utiliti dan menghalang pelajar daripada menggunakan sumber yang tidak dibenarkan.

MinGW - GNU Minimalis untuk Windows
Projek ini dalam proses untuk dipindahkan ke osdn.net/projects/mingw, anda boleh terus mengikuti kami di sana. MinGW: Port Windows asli bagi GNU Compiler Collection (GCC), perpustakaan import yang boleh diedarkan secara bebas dan fail pengepala untuk membina aplikasi Windows asli termasuk sambungan kepada masa jalan MSVC untuk menyokong fungsi C99. Semua perisian MinGW boleh dijalankan pada platform Windows 64-bit.