Dasar Keselamatan Kandungan (CSP): Panduan Komprehensif untuk Keselamatan Web

Dasar Keselamatan Kandungan (CSP) adalah mekanisme keselamatan penting yang melindungi laman web terhadap serangan suntikan kandungan, terutamanya skrip silang tapak (XSS). Dasar deklaratif ini memberi kuasa kepada pemaju untuk mewujudkan senarai putih sumber asal yang dipercayai, mengawal bagaimana penyemak imbas memuat sumber, menggunakan gaya dan skrip sebaris, dan mengendalikan penilaian JavaScript dinamik (mis., Menggunakan eval()). Sebarang percubaan untuk memuat sumber dari luar senarai putih ini disekat.

Konsep Utama:

• Pendekatan Whitelist: CSP beroperasi dengan menentukan sumber yang dibenarkan, menyekat segala yang lain.
• Penghantaran header http: Dasar ini dilaksanakan melalui header HTTP Content-Security-Policy.
• Kawalan berasaskan Arahan: Header mengandungi arahan yang menentukan domain yang dibenarkan dan menyekat pelaksanaan JavaScript untuk mencegah serangan suntikan.
Pelaporan pelanggaran:
• Log arahan CSP Pelanggaran CSP, tidak ternilai untuk persekitaran pengeluaran. Ini menghantar laporan JSON yang memperincikan pelanggaran ke url yang ditentukan. report-uri

Bagaimana CSP berfungsi:

CSP, cadangan calon W3C, menggunakan header

untuk menyampaikan arahan. Arahan utama termasuk:

, Content-Security-Policy, default-src, script-src, object-src, style-src, img-src, media-src, dan frame-src. font-src bertindak sebagai sandaran untuk arahan yang tidak ditentukan. connect-src default-src arahan mengikuti corak yang konsisten:

: merujuk kepada domain semasa.
• self Senarai URL: URL yang dipisahkan ruang yang menyatakan asal-usul yang dibenarkan.
: Melarang memuatkan sumber untuk arahan tertentu (mis.,
• Blok plugin). none object-src 'none'
CSP asas yang membolehkan sumber hanya dari domain semasa:

Sebarang percubaan untuk memuatkan dari domain lain disekat, dengan mesej konsol. CSP secara semulajadi menyekat skrip sebaris dan penilaian kod dinamik, dengan ketara mengurangkan risiko suntikan.

<code>Content-Security-Policy: default-src 'self';</code>

Walaupun domain ditentukan, laluan tidak disokong pada masa ini. Walau bagaimanapun, wildcards () membenarkan kemasukan subdomain (mis., `

.mycdn.com`). Setiap arahan memerlukan penyenaraian domain/subdomain yang jelas; Mereka tidak mewarisi dari arahan sebelumnya.

Untuk URL data, sertakan data: dalam arahan (mis., img-src 'data:'). 3 Kedua-duanya menggunakan dasar opt-in; Menghilangkan mereka menguatkuasakan sekatan. unsafe-inline script-src style-src Keserasian penyemak imbas: <script></script> <style></style> unsafe-eval CSP 1.0 menikmati sokongan penyemak imbas yang luas, dengan versi Internet Explorer yang lebih tua yang mempunyai keserasian terhad. script-src

pemantauan pelanggaran dengan :

Walaupun pembangunan menggunakan pembalakan konsol penyemak imbas, persekitaran pengeluaran mendapat manfaat daripada

. Ini menghantar permintaan pos HTTP yang mengandungi butiran pelanggaran (dalam format JSON) ke url yang ditentukan.

Contoh: report-uri

pelanggaran (mis., Memuatkan dari

) menghasilkan laporan JSON yang dihantar ke report-uri.

<code>Content-Security-Policy: default-src 'self';</code>

HEADER:

www.google-analytics.com report-uri untuk ujian, gunakan

. Ini melaporkan pelanggaran tanpa menyekat sumber, membolehkan pembaikan dasar tanpa gangguan tapak. Kedua -dua tajuk boleh digunakan secara serentak.

Content-Security-Policy-Report-Only Melaksanakan CSP:

CSP ditetapkan melalui header HTTP. Konfigurasi Pelayan (Apache, IIS, NGINX) atau kaedah programatik (PHP Content-Security-Policy-Report-Only, Node.js's

) boleh digunakan.

Contoh-contoh dunia nyata:

Facebook dan Twitter menunjukkan pelaksanaan CSP yang pelbagai, menggunakan kad liar dan elaun domain tertentu.

header() setHeader() Peningkatan tahap 2 CSP:

CSP Level 2 memperkenalkan arahan baru (,

,

,

,

), pelaporan yang lebih baik, dan perlindungan berasaskan nonce/hash untuk skrip dan gaya inline.

Perlindungan berasaskan nonce:

base-uri child-src Nonce yang dijana secara rawak dimasukkan ke dalam tajuk CSP dan tag skrip sebaris. form-action frame-ancestors plugin-types Perlindungan berasaskan hash:

Pelayan mengira hash blok skrip/gaya, termasuk dalam tajuk CSP. Penyemak imbas mengesahkan hash ini sebelum pelaksanaan.

Kesimpulan:

CSP dengan ketara meningkatkan keselamatan web dengan mengawal beban sumber. memudahkan pemantauan, dan Tahap 2 memperkenalkan penambahbaikan selanjutnya. Melaksanakan CSP adalah langkah penting dalam membina aplikasi web yang mantap dan selamat.

(Nota: Pemegang letak imej tetap tidak berubah seperti yang diminta.)

Atas ialah kandungan terperinci Meningkatkan Keselamatan Web dengan Dasar Keselamatan Kandungan. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!