HTTP Security

HTTP Security

HTTP CSP3

目标

1. 减少内容注入攻击的风险，包括：
   1） 嵌入文档的资源（worker/iframe）
   2）内联脚本
   3）动态脚本（eval）
   4) 内联样式
2. 提供能力控制嵌入资源可以使用哪些源（origin）
3. 提供一个report机制

Directives

指令相关执行检查的时机：

1. Pre-request check
2. Post-request check
3. Inline check
4. Initialization
5. Pre-navigation check
6. Navigation response check

可以配置的Source List

1. 关键字none和self(只匹配当前URL的Origin)
2. URL（例如: https://example.com/path/to/f...，特定的文件；https://example.com/，Origin下所有的资源）
3. 协议（例如: https:）
4. 域名（例如：example.com，*.example.com）
5. Nonces （例如：nonce-ch4hvvbHDpv7xCSvXCs3BrNggHdTzxUA，匹配页面上特定的元素例如: ）
6. Digests （例如：sha256-abcd，匹配页面上特定的元素: 例如