PHP8.1 dikeluarkan: menyokong CSP (Dasar Keselamatan Kandungan)-tutorial php-php.cn

Rumah

pembangunan bahagian belakang

tutorial php

PHP8.1 dikeluarkan: menyokong CSP (Dasar Keselamatan Kandungan)

PHPz

Jul 09, 2023 pm 06:52 PM

phpcspdasar keselamatan

PHP8.1 dikeluarkan: menyokong CSP (Dasar Keselamatan Kandungan)

Dengan perkembangan Internet, isu keselamatan rangkaian semakin menjadi tumpuan perhatian. Untuk melindungi privasi dan keselamatan pengguna, lebih banyak tapak web mula menerima pakai Dasar Keselamatan Kandungan (CSP) untuk mengehadkan kandungan yang boleh dilaksanakan dan sumber yang boleh dimuatkan dalam halaman web. Dalam keluaran terbaru PHP 8.1, sokongan asli untuk CSP telah diperkenalkan, memberikan pembangun alat yang lebih baik untuk meningkatkan keselamatan halaman web.

CSP membenarkan pembangun halaman web mengehadkan kod yang boleh dilaksanakan dalam halaman web dengan menyatakan sumber sumber yang dibenarkan untuk dimuatkan, menghalang XSS (serangan skrip merentas tapak) dan serangan berniat jahat yang lain. PHP8.1 menyediakan cara yang mudah dan berkuasa untuk mentakrif dan melaksanakan dasar CSP Mari lihat beberapa contoh kod di bawah.

Pertama, kita perlu tahu bagaimana strategi CSP berfungsi. Dasar menentukan jenis sumber yang boleh dimuatkan ke dalam halaman web, serta skrip dan gaya yang dibenarkan. Pembangun boleh menggunakan fungsi baharu yang disediakan oleh PHP untuk menetapkan dasar CSP, seperti ditunjukkan di bawah:

<?php
header("Content-Security-Policy: default-src 'self'; script-src 'self' 'unsafe-inline' 'unsafe-eval'; style-src 'self' 'unsafe-inline';");
?>

Dalam contoh di atas, kami menggunakan fungsi header() untuk menetapkan Content-Security - Pengepala respons polisi. Fail pengepala ini menentukan sumber yang dimuatkan secara lalai (default-src 'self'), dan masing-masing menentukan skrip yang dibenarkan untuk dimuatkan (script-src 'self' 'unsafe -inline' 'unsafe-eval') dan gaya (style-src 'self' 'unsafe-inline'). Dengan cara ini, hanya sumber daripada domain yang sama akan dimuatkan, membenarkan skrip dan gaya sebaris. header()函数来设置Content-Security-Policy响应头。这个头文件指定了默认加载的资源（default-src 'self'），并分别指定了允许加载的脚本（script-src 'self' 'unsafe-inline' 'unsafe-eval'）和样式（style-src 'self' 'unsafe-inline'）。这样，只有从同一域名的资源才会被加载，同时允许内联脚本和样式。

除了通用的加载策略外，CSP还提供了其他的指令来控制加载的资源类型，如image-src、font-src、media-src等。开发者可以根据自己的需求对这些指令进行设置。

接下来，我们来看一个更具体的例子。假设我们的网页需要加载一个第三方库（如jQuery）和一些自定义的脚本，我们可以这样设置CSP策略：

<?php
header("Content-Security-Policy: default-src 'self'; script-src 'self' 'unsafe-inline' 'unsafe-eval' https://cdnjs.cloudflare.com/ajax/libs/jquery/3.6.0/jquery.min.js; style-src 'self' 'unsafe-inline';");
?>

在上面的示例中，我们通过在script-src指令的参数中加入jQuery的CDN链接来允许加载该库。这样，即使我们的加载策略是只允许从同一域名加载资源，但是我们依然可以使用其他域名上的资源。

总结来说，PHP8.1的发布为开发者提供了对CSP的本地支持，简化了设置和实施CSP策略的过程。通过使用Content-Security-Policy

Sebagai tambahan kepada strategi pemuatan umum, CSP juga menyediakan arahan lain untuk mengawal jenis sumber yang dimuatkan, seperti image-src, font-src, media -srcdll. Pembangun boleh menetapkan arahan ini mengikut keperluan mereka sendiri. 🎜🎜Seterusnya, mari lihat contoh yang lebih khusus. Dengan mengandaikan bahawa halaman web kami perlu memuatkan perpustakaan pihak ketiga (seperti jQuery) dan beberapa skrip tersuai, kami boleh menetapkan dasar CSP seperti ini: 🎜rrreee🎜Dalam contoh di atas, kami memasukkan

script-src Tambahkan pautan CDN jQuery ke parameter arahan untuk membolehkan perpustakaan dimuatkan. Dengan cara ini, walaupun dasar pemuatan kami hanya membenarkan sumber dimuatkan daripada nama domain yang sama, kami masih boleh menggunakan sumber pada nama domain lain. 🎜🎜Ringkasnya, keluaran PHP 8.1 menyediakan pembangun dengan sokongan asli untuk CSP, memudahkan proses menyediakan dan melaksanakan dasar CSP. Dengan menggunakan pengepala respons <code>Content-Security-Policy

dan arahan yang sepadan, pembangun boleh secara fleksibel mengehadkan sumber yang boleh dimuatkan dan kod yang boleh dilaksanakan dalam halaman web, dengan itu mengukuhkan keselamatan halaman web. Apabila membangunkan halaman web, kita harus menggunakan sepenuhnya ciri baharu ini untuk melindungi privasi dan keselamatan pengguna. 🎜

Atas ialah kandungan terperinci PHP8.1 dikeluarkan: menyokong CSP (Dasar Keselamatan Kandungan). Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!

Kenyataan

Kandungan artikel ini disumbangkan secara sukarela oleh netizen, dan hak cipta adalah milik pengarang asal. Laman web ini tidak memikul tanggungjawab undang-undang yang sepadan. Jika anda menemui sebarang kandungan yang disyaki plagiarisme atau pelanggaran, sila hubungi admin@php.cn

Artikel Berkaitan

PHP dan Python: Paradigma yang berbeza dijelaskanApr 18, 2025 am 12:26 AM

PHP terutamanya pengaturcaraan prosedur, tetapi juga menyokong pengaturcaraan berorientasikan objek (OOP); Python menyokong pelbagai paradigma, termasuk pengaturcaraan OOP, fungsional dan prosedur. PHP sesuai untuk pembangunan web, dan Python sesuai untuk pelbagai aplikasi seperti analisis data dan pembelajaran mesin.

PHP dan Python: menyelam mendalam ke dalam sejarah merekaApr 18, 2025 am 12:25 AM

PHP berasal pada tahun 1994 dan dibangunkan oleh Rasmuslerdorf. Ia pada asalnya digunakan untuk mengesan pelawat laman web dan secara beransur-ansur berkembang menjadi bahasa skrip sisi pelayan dan digunakan secara meluas dalam pembangunan web. Python telah dibangunkan oleh Guidovan Rossum pada akhir 1980 -an dan pertama kali dikeluarkan pada tahun 1991. Ia menekankan kebolehbacaan dan kesederhanaan kod, dan sesuai untuk pengkomputeran saintifik, analisis data dan bidang lain.

Memilih antara php dan python: panduanApr 18, 2025 am 12:24 AM

PHP sesuai untuk pembangunan web dan prototaip pesat, dan Python sesuai untuk sains data dan pembelajaran mesin. 1.Php digunakan untuk pembangunan web dinamik, dengan sintaks mudah dan sesuai untuk pembangunan pesat. 2. Python mempunyai sintaks ringkas, sesuai untuk pelbagai bidang, dan mempunyai ekosistem perpustakaan yang kuat.

PHP dan Rangka Kerja: Memodenkan bahasaApr 18, 2025 am 12:14 AM

PHP tetap penting dalam proses pemodenan kerana ia menyokong sejumlah besar laman web dan aplikasi dan menyesuaikan diri dengan keperluan pembangunan melalui rangka kerja. 1.Php7 meningkatkan prestasi dan memperkenalkan ciri -ciri baru. 2. Rangka kerja moden seperti Laravel, Symfony dan CodeIgniter memudahkan pembangunan dan meningkatkan kualiti kod. 3. Pengoptimuman prestasi dan amalan terbaik terus meningkatkan kecekapan aplikasi.

Impak PHP: Pembangunan Web dan seterusnyaApr 18, 2025 am 12:10 AM

Phphassignificantelympactedwebdevelopmentandextendsbeyondit.1) itpowersmajorplatformslikeworderpressandexcelsindatabaseIntions.2) php'SadaptabilityAldoStoScaleforlargeapplicationFrameworksLikelara.3)

Bagaimanakah jenis membayangkan jenis PHP, termasuk jenis skalar, jenis pulangan, jenis kesatuan, dan jenis yang boleh dibatalkan?Apr 17, 2025 am 12:25 AM

Jenis PHP meminta untuk meningkatkan kualiti kod dan kebolehbacaan. 1) Petua Jenis Skalar: Oleh kerana Php7.0, jenis data asas dibenarkan untuk ditentukan dalam parameter fungsi, seperti INT, Float, dan lain -lain. 2) Return Type Prompt: Pastikan konsistensi jenis nilai pulangan fungsi. 3) Jenis Kesatuan Prompt: Oleh kerana Php8.0, pelbagai jenis dibenarkan untuk ditentukan dalam parameter fungsi atau nilai pulangan. 4) Prompt jenis yang boleh dibatalkan: membolehkan untuk memasukkan nilai null dan mengendalikan fungsi yang boleh mengembalikan nilai null.

Bagaimanakah PHP mengendalikan pengklonan objek (kata kunci klon) dan kaedah sihir __clone?Apr 17, 2025 am 12:24 AM

Dalam PHP, gunakan kata kunci klon untuk membuat salinan objek dan menyesuaikan tingkah laku pengklonan melalui kaedah Magic \ _ _ _. 1. Gunakan kata kunci klon untuk membuat salinan cetek, mengkloning sifat objek tetapi bukan sifat objek. 2. Kaedah klon \ _ \ _ boleh menyalin objek bersarang untuk mengelakkan masalah menyalin cetek. 3. Beri perhatian untuk mengelakkan rujukan pekeliling dan masalah prestasi dalam pengklonan, dan mengoptimumkan operasi pengklonan untuk meningkatkan kecekapan.

PHP vs Python: Gunakan Kes dan AplikasiApr 17, 2025 am 12:23 AM

PHP sesuai untuk pembangunan web dan sistem pengurusan kandungan, dan Python sesuai untuk sains data, pembelajaran mesin dan skrip automasi. 1.PHP berfungsi dengan baik dalam membina laman web dan aplikasi yang cepat dan berskala dan biasanya digunakan dalam CMS seperti WordPress. 2. Python telah melakukan yang luar biasa dalam bidang sains data dan pembelajaran mesin, dengan perpustakaan yang kaya seperti numpy dan tensorflow.

See all articles