HTTP Security

HTTP Security

HTTP CSP3

目标

  1. 减少内容注入攻击的风险,包括:
    1) 嵌入文档的资源(worker/iframe)
    2)内联脚本
    3)动态脚本(eval)
    4) 内联样式
  2. 提供能力控制嵌入资源可以使用哪些源(origin)
  3. 提供一个report机制

Directives

指令相关执行检查的时机:

  1. Pre-request check
  2. Post-request check
  3. Inline check
  4. Initialization
  5. Pre-navigation check
  6. Navigation response check

可以配置的Source List

  1. 关键字none和self(只匹配当前URL的Origin)
  2. URL(例如: https://example.com/path/to/f...,特定的文件;https://example.com/,Origin下所有的资源)
  3. 协议(例如: https:)
  4. 域名(例如:example.com,*.example.com)
  5. Nonces (例如:nonce-ch4hvvbHDpv7xCSvXCs3BrNggHdTzxUA,匹配页面上特定的元素例如:
  6. Digests (例如:sha256-abcd,匹配页面上特定的元素: 例如

你可能感兴趣的:(HTTP Security)