CSP(内容安全策略)

CSP(Content Security Policy) 即内容安全策略,主要目标是减少、并有效报告 XSS 攻击,其实质就是让开发者定制一份白名单,告诉浏览器允许加载、执行的外部资源。即使攻击者能够发现可从中注入脚本的漏洞,由于脚本不在白名单之列,浏览器也不会执行该脚本,从而达到了降低客户端遭受 XSS 攻击风险和影响的目的。

默认配置下,CSP 甚至不允许执行内联代码 (<script> 块内容,内联事件,内联样式),以及禁止执行eval(), setTimeoutsetInterval。为什么要这么做呢?因为制定来源白名单依旧无法解决 XSS 攻击的最大威胁:内联脚本注入。浏览器无法区分合法内联脚本与恶意注入的脚本,所以通过默认禁止内联脚本来有效解决这个问题。

事实上我们并不推荐使用内联脚本混合的开发方式,使用外部资源,浏览器更容易缓存,对开发者也容易阅读理解,并且有助于编译和压缩。当然,如果不得不需要内联脚本和样式,可以通过设置 unsafe-inline,来解除这一限制。

目前浏览器对 CSP 的支持情况可以在 这里查看

启用 CSP

有两种方法配置并启用 CSP

1.设置 HTTP 头的 Content-Security-Policy 字段(旧版 X-Content-Security-Policy)

  1. Content-Security-Policy: script-src 'self'; object-src 'none';style-src cdn.example.org third-party.org; child-src https:

2.设置页面的 <meta> 标签

  1. <meta http-equiv="Content-Security-Policy" content="script-src 'self'; object-src 'none'; style-src cdn.example.org third-party.org; child-src https:">

上述例子进行了配置

  • script: 只信任当前域名
  • object-src: 不允许加载任何插件资源(如object, embed, applet 等标签引入的 flash 等插件)
  • 样式: 只信任来自 cdn.example.org 和 third-party.org
  • 框架内容(如 iframe): 必须使用 https 协议加载

CSP 提供了很多可配置的选项来针对不同资源的加载进行限制,常见的有,

  • script-src:外部脚本
  • style-src:样式表
  • img-src:图像
  • media-src:媒体文件(音频和视频)
  • font-src:字体文件
  • object-src:插件(比如 Flash)
  • child-src:框架
  • manifest-src:manifest 文件

如果不为某条配置设置具体的值,则默认情况下,该配置在运行时认为你指定 * 作为有效来源(例如,你可以从任意位置加载字体,没有任何限制)。也可以设置 default-src 的值,来代替各个选项的默认值。

每个配置选项的值,可填入以下内容

  • 主机名:example.org,https://example.com:443
  • 路径名:example.org/resources/js/
  • 通配符:*.example.org,*://*.example.com:*(表示任意协议、任意子域名、任意端口)
  • 协议名:https:、data:
  • 关键字 ‘self’:当前域名,需要加引号
  • 关键字 ‘none’:禁止加载任何外部资源,需要加引号

这里不对资源白名单的配置具体介绍了,更多内容可参阅:https://www.w3.org/TR/CSP/