內容安全策略 (CSP) 如何保護網站免受惡意程式碼注入？

了解內容安全策略(CSP)

開發者控制台中經常遇到的錯誤，例如“拒絕...”，是內容安全策略的結果( CSP)，一種限制從不可信來源載入資源的安全措施。

CSP 是如何實現的有效嗎？

CSP 可讓您控制從何處載入資源。您可以透過 HTTP 標頭 Content-Security-Policy 中的指令定義允許的來源。透過設定這些限制，您可以最大限度地降低 XSS 攻擊等惡意程式碼注入的風險。

指令

常見指令包括：

• default-src：預設策略載入各種資源。
• script-src：定義 JavaScript 的有效原始檔。
• style-src：定義 CSS 檔案的有效來源。
• img-src：定義影像的有效來源。
• connect-src：定義 AJAX 的有效目標請求或 WebSocket 連線。

使用CSP

1。允許多個來源：

content="default-src 'self' https://example.com/js/"

2.定義多個指令：

content="default-src 'self' https://example.com/js/; style-src 'self'"

3.處理埠：

content="default-src 'self' https://example.com:123/free/stuff/"

4。處理不同的協定：

content="default-src 'self'; connect-src ws:; style-src 'self'"

5.允許檔案協定：

content="default-src filesystem"

6. 🎜>

content="script-src 'unsafe-inline'; style-src 'unsafe-inline'"

7.允許eval():

content="script-src 'unsafe-eval'"

8. “ 「self」是指與定義策略的檔案具有相同方案、主機和連接埠的來源。
9.通配符警告：

雖然很誘人，但使用content="default-src *" 會允許某些危險操作，例如允許內聯腳本和eval( )。對於真正的漏洞，請考慮：
資源

content="default-src * 'unsafe-inline' 'unsafe-eval'"

content-security-policy.com

en.pedia.org/wiki/Content_Security_Policy

以上是內容安全策略 (CSP) 如何保護網站免受惡意程式碼注入？的詳細內容。更多資訊請關注PHP中文網其他相關文章！