CSP(内容安全策略)防运营商劫持

（一）前言
CSP英文全称Content Security Policy，中文意思是 内容安全策略。
CSP以白名单的机制对网站加载或执行的资源起作用，在网页中，这样的策略通过 HTTP 头信息或者 meta 元素定义。用于检测并削弱某些特定类型的攻击，包括跨站脚本 (XSS) 和数据注入攻击等。无论是数据盗取、网站内容污染还是散发恶意软件。

（二）CSP的应用
可以分为前端和后端配置

1. 前端配置
   在 HTML 的 Head 中添加 Meta 标签

  
  
  
  
  
  


  
CSP测试
  
  
  
  

这种方式除了 头部的注入型劫持未被拦截以外 ，其他 script 劫持均被拦截。需要特别注意的是这段代码中的 nonce-shendun ，这里可以理解为 script 的安全属性，nonce- 是CSP提供的参数，shendun 这个名字是自定义的（官方推荐这里填随机数）。

2. 后端配置
   以 Nginx 为例，配置 Sever 文件，添加如下代码:

server {
    ...
    add_header Content-Security-Policy "default-src *; script-src 'self' 'nonce-shendun' baidu.com *.baidu.com;";
    ...

源列表中也接受了四个关键字：

‘none’ 你可能会期望，什么也没有。
‘self’ 匹配当前来源，但不匹配其子域。
‘unsafe-inline’ 允许内联JavaScript和CSS （很多劫持是script直接注入，所以这里不推荐这么配置）
‘unsafe-eval’ 允许文本到JavaScript的机制eval。

API链接导航

（三）总结
CSP不是万能的，但是如果搭配script、iframe注入型防运营商劫持，可以为网站增加更多防护。

至于XSS攻击，可以参考下面文章
前端安全系列（一）：如何防止XSS攻击