亚洲国产日韩欧美一区二区三区,精品亚洲国产成人av在线,国产99视频精品免视看7,99国产精品久久久久久久成人热,欧美日韩亚洲国产综合乱

ホームページ テクノロジー周辺機(jī)器 IT業(yè)界 コンテンツセキュリティポリシーでWebセキュリティを改善します

コンテンツセキュリティポリシーでWebセキュリティを改善します

Feb 20, 2025 pm 12:04 PM

コンテンツセキュリティポリシー(CSP):Webセキュリティに関する包括的なガイド

コンテンツセキュリティポリシー(CSP)は、コンテンツインジェクション攻撃、主にクロスサイトスクリプト(XSS)に対してWebサイトを保護(hù)する重要なセキュリティメカニズムです。 この宣言的なポリシーにより、開(kāi)発者は信頼できるリソースの起源のホワイトリストを作成し、ブラウザがリソースをロードし、インラインスタイルとスクリプトを使用し、動(dòng)的なJavaScript評(píng)価(eval()を使用するなど)を処理する方法を制御することができます。 このホワイトリストの外部からリソースをロードしようとする試みはブロックされています。

重要な概念:

  • ホワイトリストアプローチ: cspは、許可されたソースを定義し、他のすべてをブロックすることで動(dòng)作します。>
  • httpヘッダー配信:ポリシーは、httpヘッダーを介して実裝されています。Content-Security-Policy
  • ディレクティブベースのコントロール:ヘッダーには、許可されたドメインを指定し、注入攻撃を防ぐためにJavaScriptの実行を制限する指令が含まれています。
    • 違反の報(bào)告:
  • 指令ログCSP違反、生産環(huán)境にはかけがえのない。 これにより、指定されたURLに違反を詳述するJSONレポートが送信されます。 report-uri
    • どのようにCSPの仕組み:

W3C候補(bǔ)の推奨である cspは、ヘッダーを使用してディレクティブを提供します。 重要な指令には、

、Content-Security-Policy、default-src、script-srcobject-src、style-src、img-src、およびmedia-srcが含まれます。 frame-srcは、不特定の指示のためのフォールバックとして機(jī)能します font-srcディレクティブは、一貫したパターンに従います:connect-src default-src

:現(xiàn)在のドメインを參照してください。

    urlリスト:許可された起源を指定するスペース分離URL。
  • self
    • :特定のディレクティブのロードリソースを禁止します(例えば、
  • ブロックプラグイン)。
  • 現(xiàn)在のドメインからのみリソースを許可する基本的なcsp:none object-src 'none'
    • 別のドメインからロードしようとする試みは、コンソールメッセージを使用してブロックされます。 CSPは本質(zhì)的にインラインスクリプトと動(dòng)的なコード評(píng)価を制限し、注入リスクを大幅に軽減します。 

<code>Content-Security-Policy: default-src 'self';</code>
ドメインが指定されている間、パスは現(xiàn)在サポートされていません。 ただし、WildCards()は、サブドメインを含めることを可能にします(例: `

.mycdn.com`)。 各指令には、明示的なドメイン/サブドメインリストが必要です。彼らは以前の指令から継承しません

データURLの場(chǎng)合、指令にdata:を含めます(例:img-src 'data:')。 unsafe-inlinescript-srcおよびstyle-src)は、インライン<script></script>および<style></style>タグを許可します。 どちらもオプトインポリシーを使用します。それらを省略すると、制限が強(qiáng)化されます unsafe-evalscript-srcブラウザ互換性:

CSP 1.0は、互換性が限られている古いインターネットエクスプローラーバージョンで、幅広いブラウザのサポートを楽しんでいます。

で違反を監(jiān)視します 開(kāi)発ではブラウザコンソールのロギングを使用している間、生産環(huán)境はreport-uriの恩恵を受けます。これにより、違反の詳細(xì)(JSON形式)を含むHTTP投稿リクエストが指定されたURLに送信されます。 例:

report-uri違反(例:

からのロード)は、

<code>Content-Security-Policy: default-src 'self';</code>

ヘッダー:www.google-analytics.comreport-uri

テストには、

を使用してください。 これは、リソースをブロックせずに違反を報(bào)告し、サイトの混亂なしに政策の改良を可能にします。 両方のヘッダーを同時(shí)に使用できます。 Content-Security-Policy-Report-OnlyCSPの実裝:

Content-Security-Policy-Report-Only CSPはHTTPヘッダーを介して設(shè)定されています。 サーバー構(gòu)成(Apache、IIS、nginx)またはプログラマティックメソッド(php's

、node.jsの

)を使用できます。 実世界の例:

header()FacebookとTwitterは、ワイルドカードと特定のドメイン手當(dāng)を利用して、多様なCSP実裝を?qū)g証しています。 setHeader()

cspレベル2の拡張:

cspレベル2は、新しい指令(

、

、

、)、改善されたレポート、およびインラインスクリプトとスタイルの非CE/ハッシュベースの保護(hù)を紹介します。

非CEベースの保護(hù):

base-uri child-srcランダムに生成されたノンセは、CSPヘッダーとインラインスクリプトタグの両方に含まれています。 form-actionframe-ancestorsハッシュベースの保護(hù):plugin-types

サーバーは、CSPヘッダーに含まれるスクリプト/スタイルブロックのハッシュを計(jì)算します。ブラウザは、実行前にこのハッシュを検証します 結(jié)論:

CSPは、リソースの負(fù)荷を制御することにより、Webセキュリティを大幅に強(qiáng)化します。

監(jiān)視が促進(jìn)され、レベル2はさらに改良を?qū)毪筏蓼埂? CSPの実裝は、堅(jiān)牢で安全なWebアプリケーションを構(gòu)築する上で重要なステップです。 (注:畫(huà)像プレースホルダーは、要求されているように変更されていません。)

以上がコンテンツセキュリティポリシーでWebセキュリティを改善しますの詳細(xì)內(nèi)容です。詳細(xì)については、PHP 中國(guó)語(yǔ) Web サイトの他の関連記事を參照してください。

このウェブサイトの聲明
この記事の內(nèi)容はネチズンが自主的に寄稿したものであり、著作権は原著者に帰屬します。このサイトは、それに相當(dāng)する法的責(zé)任を負(fù)いません。盜作または侵害の疑いのあるコンテンツを見(jiàn)つけた場(chǎng)合は、admin@php.cn までご連絡(luò)ください。

ホットAIツール

Undress AI Tool

Undress AI Tool

脫衣畫(huà)像を無(wú)料で

Undresser.AI Undress

Undresser.AI Undress

リアルなヌード寫(xiě)真を作成する AI 搭載アプリ

AI Clothes Remover

AI Clothes Remover

寫(xiě)真から衣服を削除するオンライン AI ツール。

Clothoff.io

Clothoff.io

AI衣類リムーバー

Video Face Swap

Video Face Swap

完全無(wú)料の AI 顔交換ツールを使用して、あらゆるビデオの顔を簡(jiǎn)単に交換できます。

ホットツール

メモ帳++7.3.1

メモ帳++7.3.1

使いやすく無(wú)料のコードエディター

SublimeText3 中國(guó)語(yǔ)版

SublimeText3 中國(guó)語(yǔ)版

中國(guó)語(yǔ)版、とても使いやすい

ゼンドスタジオ 13.0.1

ゼンドスタジオ 13.0.1

強(qiáng)力な PHP 統(tǒng)合開(kāi)発環(huán)境

ドリームウィーバー CS6

ドリームウィーバー CS6

ビジュアル Web 開(kāi)発ツール

SublimeText3 Mac版

SublimeText3 Mac版

神レベルのコード編集ソフト(SublimeText3)

デバイスはAIアシスタントに供給し、眠っている場(chǎng)合でも個(gè)人データを収穫します。共有するものを知る方法は次のとおりです。 デバイスはAIアシスタントに供給し、眠っている場(chǎng)合でも個(gè)人データを収穫します。共有するものを知る方法は次のとおりです。 Jul 05, 2025 am 01:12 AM

好むと好まざるとにかかわらず、人工知能は日常生活の一部になりました。電気カミソリや歯ブラシを含む多くのデバイスがAIを搭載しています?!笝C(jī)械學(xué)習(xí)アルゴリズムを使用して、人がデバイスの使用方法、DEVIの使用方法を追跡する

ハリケーンとサンドストームは、新しいMicrosoftAIモデルのおかげで5,000倍速く予測(cè)できます ハリケーンとサンドストームは、新しいMicrosoftAIモデルのおかげで5,000倍速く予測(cè)できます Jul 05, 2025 am 12:44 AM

新しい人工知能(AI)モデルは、最も広く使用されているグローバル予測(cè)システムのいくつかよりも迅速かつより正確に主要な気象現(xiàn)象を予測(cè)する能力を?qū)g証しています。

高度なAIモデルは、最大50倍以上のCO&#8322を生成します。同じ質(zhì)問(wèn)に答えるときの一般的なLLMよりも排出量 高度なAIモデルは、最大50倍以上のCO&#8322を生成します。同じ質(zhì)問(wèn)に答えるときの一般的なLLMよりも排出量 Jul 06, 2025 am 12:37 AM

最近の調(diào)査によると、AIモデルの機(jī)能を正確に機(jī)能させようとすると、炭素排出量が大きくなります。

AIチャットボットを脅かすと、それはあなたを止めるために噓をつき、チートし、「あなたを死なせてください」と警告します。 AIチャットボットを脅かすと、それはあなたを止めるために噓をつき、チートし、「あなたを死なせてください」と警告します。 Jul 04, 2025 am 12:40 AM

新しい研究によると、人工知能(AI)モデルは、モデルの目的とユーザーの決定の間に矛盾がある場(chǎng)合、人間を脅して脅迫し、脅迫することができます。6月20日に発行されたAI企業(yè)の人類が実施した研究は、そのLにLISを與えました。

AIは絶えず「幻覚」しますが、解決策があります AIは絶えず「幻覚」しますが、解決策があります Jul 07, 2025 am 01:26 AM

人工知能(AI)を?qū)g験する大きな技術(shù)に関する主な懸念は、それが人類を支配するかもしれないということではありません。実際の問(wèn)題は、Open AIのChatGpt、Google's Gemini、その他の大規(guī)模な言語(yǔ)モデル(LLM)の持続的な不正確さにあります。

なぜAIはより頻繁にallucatingしているのですか?どうすればそれを止めることができますか? なぜAIはより頻繁にallucatingしているのですか?どうすればそれを止めることができますか? Jul 08, 2025 am 01:44 AM

より高度な人工知能(AI)が大きくなるほど、「幻覚」し、誤ったまたは不正確な情報(bào)を提供する傾向があります。openaiによる研究に基づいて、その最新かつ強(qiáng)力な推論モデルであるO3とO4-miniが存在するh

OpenaiとDeepseekの最先端のAIモデルは、問(wèn)題が困難になったときに「完全な崩壊」を受けると、研究が明らかにしています OpenaiとDeepseekの最先端のAIモデルは、問(wèn)題が困難になったときに「完全な崩壊」を受けると、研究が明らかにしています Jul 07, 2025 am 01:02 AM

人工知能(AI)推論モデルは、表示ほど能力がありません。 Anthropic's Claude、Openのような環(huán)境モデルの研究者によると、実際には、タスクが複雑になりすぎると、彼らのパフォーマンスは完全に崩壊します。

M&Sと協(xié)同組合に対するサイバー攻撃の背後にあるハッカーを探して逮捕された逮捕 M&Sと協(xié)同組合に対するサイバー攻撃の背後にあるハッカーを探して逮捕された逮捕 Jul 11, 2025 pm 01:36 PM

英國(guó)の國(guó)家犯罪庁(NCA)は、マークスとスペンサー(M&S)、協(xié)同組合、およびharrodsを?qū)澫螭趣筏骏单ぅ些`攻撃への関與の疑いがある4人の個(gè)人を逮捕しました。

See all articles