Entry № 240
内容安全策略 (CSP)
内容安全策略 (CSP) 是什么?
内容安全策略 (CSP)一种 HTTP 响应头,告诉浏览器允许加载哪些来源的脚本、样式、框架等内容,从而限制 XSS 与数据注入攻击的影响。
CSP 通过响应头「Content-Security-Policy」(或 meta 元素)下发,对每种资源类型施加细粒度白名单:script-src、style-src、img-src、connect-src、frame-ancestors 等。现代严格 CSP 通常基于 nonce 或哈希,而非主机白名单,因此未携带正确 nonce 的注入脚本无法执行。CSP 还会阻止内联事件处理器、默认禁用 eval,并可通过 report-to 上报违规。它是一种深度防御措施,可显著降低 XSS、点击劫持(通过 frame-ancestors)与混合内容带来的影响,但不能取代输入校验与输出编码。
● 示例
- 01
响应头:「Content-Security-Policy: script-src 'self' 'nonce-r4nd0m'; object-src 'none'; base-uri 'none'; frame-ancestors 'none'」。
- 02
使用「Content-Security-Policy-Report-Only」先测试更严格的 CSP,再正式启用。
● 常见问题
内容安全策略 (CSP) 是什么?
一种 HTTP 响应头,告诉浏览器允许加载哪些来源的脚本、样式、框架等内容,从而限制 XSS 与数据注入攻击的影响。 它属于网络安全的 应用安全 分类。
内容安全策略 (CSP) 是什么意思?
一种 HTTP 响应头,告诉浏览器允许加载哪些来源的脚本、样式、框架等内容,从而限制 XSS 与数据注入攻击的影响。
如何防御 内容安全策略 (CSP)?
针对 内容安全策略 (CSP) 的防御通常结合技术控制与运营实践,详见上方完整定义。
内容安全策略 (CSP) 还有哪些其他名称?
常见的别称包括: CSP。