Inhaltssicherheitsrichtlinie (CSP): Eine umfassende Anleitung zur Websicherheit

Inhaltssicherheitsrichtlinie (CSP) ist ein entscheidender Sicherheitsmechanismus, der Websites gegen Inhaltsinjektionsangriffe, haupts?chlich Cross-Site-Skripten (XSS), schützt. Diese deklarative Richtlinie erm?glicht es Entwicklern, einen Whitelisten vertrauenswürdige Ressourcen -Ursprünge zu erstellen, um zu kontrollieren, wie der Browser Ressourcen l?dt, Inline -Stile und -Skripte verwendet und die dynamische JavaScript -Bewertung übernimmt (z. B. mit eval()). Jeder Versuch, Ressourcen von au?en zu laden, ist blockiert.

Schlüsselkonzepte:

• Whitelist -Ansatz: CSP arbeitet durch Definieren erlaubter Quellen, blockiert alles andere.
• HTTP -Header Lieferung: Die Richtlinie wird über den HTTP -Header Content-Security-Policy http implementiert.
• Direktive basierte Steuerung: Der Header enth?lt Anweisungen, die zul?ssige Dom?nen angeben und die JavaScript-Ausführung einschr?nken, um Injektionsangriffe zu verhindern.
• Verst??e berichten: Die Verst??e gegen die report-uri -Richtlinienprotokolle CSP, von unsch?tzbarem Wert für Produktionsumgebungen. Dies sendet einen JSON -Bericht, in dem der Versto? an eine bestimmte URL detailliert wird.

Wie CSP funktioniert:

CSP, eine W3C -Kandidatenempfehlung, verwendet den Content-Security-Policy -Header, um Anweisungen zu liefern. Zu den Schlüsselanweisungen geh?ren: default-src, script-src, object-src, style-src, img-src, media-src, frame-src, font-src und connect-src. default-src fungiert als Fallback für nicht spezifizierte Richtlinien.

Richtlinien folgen einem konsistenten Muster:

• self: Bezieht sich auf die aktuelle Dom?ne.
• URL-Liste: Platziert getrennte URLs angeben zul?ssige Herkunft.
• none: verbietet das Laden von Ressourcen für eine bestimmte Richtlinie (z. B. Plugins blockiert). object-src 'none'

Ein grundlegender CSP, der Ressourcen nur aus der aktuellen Dom?ne zul?sst:

<code>Content-Security-Policy: default-src 'self';</code>

Jeder Versuch, aus einer anderen Dom?ne zu laden, wird mit einer Konsolennachricht blockiert. CSP schr?nkt von Natur aus die Inline -Skripte und die dynamische Code -Bewertung ein und mildern die Injektionsrisiken signifikant.

W?hrend Dom?nen angegeben werden, werden die Pfade derzeit nicht unterstützt. Wildcards (

) erm?glichen jedoch die Einbeziehung von Subdom?nen (z. B. ` .mycdn.com`). Jede Richtlinie erfordert eine explizite Dom?ne/Subdomain -Auflistung. Sie erben nicht aus früheren Richtlinien.

für Daten -URLs enthalten data: in die Direktive (z. B. img-src 'data:'). unsafe-inline (für script-src und style-src) erlaubt Inline <script></script> und <style></style> Tags, und unsafe-eval (für script-src) erm?glicht eine dynamische Code -Bewertung. Beide verwenden Opt-In-Richtlinien; Das Auslassen von ihnen erzwingt Einschr?nkungen.

Browserkompatibilit?t:

CSP 1.0 genie?t einen breiten Browser -Support, wobei ?ltere Internet -Explorer -Versionen eine begrenzte Kompatibilit?t haben.

überwachung Verst??e mit report-uri:

W?hrend die Entwicklung der Browser -Konsolenprotokollierung verwendet, profitieren Produktionsumgebungen von report-uri. Dies sendet HTTP -Postanfragen mit Verst??endetails (im JSON -Format) an eine bestimmte URL.

Beispiel:

<code>Content-Security-Policy: default-src 'self';</code>

Ein Versto? (z. B. das Laden von www.google-analytics.com) erzeugt einen JSON -Bericht, der an die report-uri

gesendet wurde

Content-Security-Policy-Report-Only Header:

Verwenden Sie zum Testen Content-Security-Policy-Report-Only. Dies meldet Verst??e ohne Blockierung von Ressourcen und erm?glicht die Verfeinerung der Richtlinien ohne St?rungen. Beide Header k?nnen gleichzeitig verwendet werden.

Implementieren von CSP:

CSP wird über den HTTP -Header eingestellt. Serverkonfiguration (Apache, IIS, Nginx) oder programmatische Methoden (PHPs header(), node.js setHeader()) k?nnen verwendet werden.

reale Beispiele:

Facebook und Twitter zeigen verschiedene CSP -Implementierungen, die Wildcards und spezifische Dom?nenzulagen nutzen.

CSP -Stufe 2 Verbesserungen:

CSP Level 2 führt neue Direktiven (base-uri, child-src, form-action, frame-ancestors, plugin-types), verbesserte Berichterstattung und Nonce/Hash-basierte Schutz für Inline-Skripte und Stile ein.

.

nonce-basiertes Schutz:

Ein zuf?llig erzeugtes Nonce ist sowohl im CSP -Header als auch im Inline -Skript -Tag enthalten.

Hash-basierter Schutz:

Der Server berechnet den Hash des Skript-/Stilblocks, der im CSP -Header enthalten ist. Der Browser überprüft diesen Hash vor der Ausführung.

Schlussfolgerung:

report-uri CSP erh?ht die Websicherheit erheblich, indem die Ressourcen geladen wird.

erleichtert die überwachung, und Level 2 führt zu weiteren Verfeinerungen. Das Implementieren von CSP ist ein wichtiger Schritt beim Erstellen robuster und sicherer Webanwendungen.

(Hinweis: Die Bildplatzhalter bleiben wie angefordert unver?ndert.)

Das obige ist der detaillierte Inhalt vonVerbesserung der Websicherheit mit der Inhaltssicherheitsrichtlinie. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!