Content Security Policy

0x00简介

Content Security Policy(CSP),直译过来就是内容安全策略,是一种前端安全机制,用以防止一些前端存在的攻击,如XSS、注入攻击等。现在主流的浏览器已经对其提供了支持。就算浏览器不支持CSP,也只是对其进行忽略,默认运行标准的同源策略。

CSP存在的主要目的是对XSS攻击进行缓解,它是一种白名单策略,开发者通过配置,明确告诉客户端哪些外部资源可以加载和执行,能对XSS攻击起到有效的阻止。

启用csp:
1.配置web服务器以返回content-security-policy的HTTP标头
2.用meta元素配置

csp在启用后,不符合规则的资源就不会被加载。

0x01详细信息

一、键名

各类资源的键名:
script-src:外部脚本
style-src:样式表
img-src:图像
media-src:媒体文件(音频和视频)
font-src:字体文件
object-src:插件(比如 Flash)
child-src:框架
frame-ancestors:嵌入的外部资源(比如、