本文目录一览:
- 1、如何添加 content-security-policy 头
- 2、如何添加 content-security-policy 头?
- 3、Content Security Policy 是什么?为什么它能抵御 XSS 攻击
如何添加 content-security-policy 头
加上下面META
meta http-equiv="Content-Security-Policy" content="script-src 'self'; object-src 'none'; style-src cdn.example.org third-party.org; child-src https:"
CSP简介:
1、CSP官网是这样介绍它的:“The new Content-Security-Policy HTTP response header helps you reduce XSS risks on modern browsers by declaring what dynamic resources are allowed to load via a HTTP Header.”
2、大意是说,通过在http的响应头中设定csp的规则,可以规定当前网页可以加载的资源的白名单,从而减少网页受到XSS攻击的风险。所以说csp是一个在现代浏览器加载资源白名单的安全机制,只有响应头中白名单里列出的资源才能够被加载、执行。
如何添加 content-security-policy 头?
加上下面META
meta http-equiv="Content-Security-Policy" content="script-src 'self'; object-src 'none'; style-src cdn.example.org third-party.org; child-src https:"
CSP简介:
1、CSP官网是这样介绍它的:“The new Content-Security-Policy HTTP response header helps you reduce XSS risks on modern browsers by declaring what dynamic resources are allowed to load via a HTTP Header.”
2、大意是说,通过在http的响应头中设定csp的规则,可以规定当前网页可以加载的资源的白名单,从而减少网页受到XSS攻击的风险。所以说csp是一个在现代浏览器加载资源白名单的安全机制,只有响应头中白名单里列出的资源才能够被加载、执行。
Content Security Policy 是什么?为什么它能抵御 XSS 攻击
它是CSP,是由单词 Content Security Policy 的首单词组成,CSP旨在减少(注意这里是减少而不是消灭)跨站脚本攻击。CSP是一种由开发者定义的安全性政策性申明,通过CSP所约束的的规责指定可信的内容来源(这里的内容可以指脚本、图片、iframe、fton、style等等可能的远程的资源)。通过CSP协定,让WEB处于一个安全的运行环境中。