Web内容安全策略CSP(Content-Security-Policy)

Web内容安全策略CSP(Content-Security-Policy)

概念

内容安全策略(CSP)是一种web应用技术用于帮助缓解大部分类型的内容注入攻击，包括XSS攻击和数据注入等，这些攻击可实现数据窃取、网站破坏和作为恶意软件分发版本等行为。该策略可让网站管理员指定客户端允许加载的各类可信任资源。

源列表

源列表是一个字符串，指定了一个或多个互联网主机（通过主机名或 IP 地址），和可选的 URL 协议和/或端口号。站点地址可以包含可选的通配符前缀 (星号, ‘’)，端口号也可以使用通配符 (同样是 '’) 来表明所有合法端口都是有效来源。主机通过空格分隔。

有效的主机表达式包括：

http://*.foo.com
匹配所有使用 http: 协议加载 foo.com 任何子域名的尝试。
mail.foo.com:443
匹配所有访问 mail.foo.com 的 443 端口 的尝试。
https://store.foo.com
匹配所有使用 https: 协议访问 store.foo.com 的尝试。
如果端口号没有被指定，浏览器会使用指定协议的默认端口号。如果协议没有被指定，浏览器会使用访问该文档时的协议。

响应头的值可配置一个或多个，多个指令以分号;隔开：

指令	示例	描述
default-src	‘self’ cdn.example.com	默认配置，若其他指令没有配置，都以此配置的规则为准
script-src	‘self’ js.example.com	定义允许加载的JavaScript来源
style-src	‘self’ css.example.com	定义允许加载的样式表来源
img-src	‘self’ img.example.com	定义允许加载的图片来源
connect-src	‘self’	适用于XMLHttpRequest(AJAX),WebSocket或EventSource， 当为不允许的来源，浏览器返回一个400的状态码。
font-src	font.example.com	定义允许加载的字体来源
object-src	‘self’	定义允许加载的插件来源
media-src	media.example.com	定义允许加载的audio和video元素
frame-src	‘self’	定义允许加载的框架来源
sandbox	allow-forms allow-scripts	授权一个沙箱用来请求具有iframe sanbox等类似属性的资源,该沙箱默认为同源策略, 禁止弹出口,执行插件和脚本.若要允许其他,可增加配置: allow-forms,allow-same-origin, allow-scripts,allow-top-navigation
report-uri	/some-report-uri	该配置让浏览器发送一个失败报告到指定的路径， 也可以增加-Report-only到HTTP头,让浏览器只发送报告(不做阻止动作)

常见配置

该策略允许加载同源的图片、脚本、AJAX和CSS资源，并阻止加载其他任何资源，对于大多数网站是一个不错的配置。

default-src ‘none’; script-src ‘self’; connect-src ‘self’; img-src ‘self’; style-src ‘self’;

浏览器支持

Header	IE	Chrome	FireFox	Safari	Opera
Content-Security-Policy		25+	24+	7+
X-Content-Security-Policy	10+		4.0+		15+
X-Webkit-CSP		14+		6+

禁止后提示信息

Refused to load the script ‘script-uri’ because it violates the following Content Security Policy directive: “your CSP directive”.

Content Security Policy: A violation occurred for a report-only CSP policy (“An attempt to execute inline scripts has been blocked”). The behavior was allowed, and a CSP report was sent.