例如，如果攻擊者將惡意腳本注入您的頁面（通過XSS），但是該腳本未託管在您批準(zhǔn)的域之一上，則CSP將其阻止其執(zhí)行。

常見威脅CSP有助於預(yù)防：

• XSS攻擊（反映，存儲，基於DOM）
• 不安全的內(nèi)線腳本和事件處理程序
• 不信任的第三方資源加載
• 通過未經(jīng)授權(quán)的端點(diǎn)去除數(shù)據(jù)

CSP不會替代輸入驗(yàn)證或安全編碼實(shí)踐 - 它增加了強(qiáng)大的安全網(wǎng)。

如何實(shí)現(xiàn)基本的CSP標(biāo)頭

首先，將Content-Security-Policy標(biāo)頭添加到服務(wù)器響應(yīng)中。這是一個最小但實(shí)用的例子：

 content-security-policy：default-src'self'; Script-Src'self'; style-src'self'“不安全界線”； IMG-SRC“自我”數(shù)據(jù)：;

讓我們分解每個部分的含義：

• default-src 'self' - 後備：僅允許來自相同原點(diǎn)的資源。
• script-src 'self' - 僅從您自己的域加載JavaScript。
• style-src 'self' 'unsafe-inline' - 允許您的域和內(nèi)聯(lián)<style>標(biāo)籤（通常需要）的CSS。
• img-src 'self' data: - 允許您的域和嵌入式數(shù)據(jù)URL的圖像。

？提示：在可能的情況下避免使用'unsafe-inline'和'unsafe-eval' 。他們大大削弱了安全性。

您可以首先使用Content-Security-Policy-Report-Only標(biāo)題來測試您的策略 - 它不會阻止任何內(nèi)容，而只是舉報(bào)違規(guī)行為。

例子：

 content-security-policy-horeply：default-src'self'; Report-uri /csp-Report-endpoint

這使您可以在執(zhí)行政策之前監(jiān)視問題。

常見的陷阱以及如何避免它們

即使有良好的意圖，CSP設(shè)置也經(jīng)常由於現(xiàn)實(shí)世界中的複雜性而失敗。這是經(jīng)常出現(xiàn)的問題以及如何處理它們：

1。阻止合法的內(nèi)聯(lián)腳本

許多站點(diǎn)依靠內(nèi)聯(lián)<script>標(biāo)籤或onclick=""處理程序。默認(rèn)情況下，CSP會阻止這些。

?修復(fù)：

• 將腳本移至外部文件。
• 使用nonce或hash屬性進(jìn)行允許的內(nèi)聯(lián)腳本。

nonce的示例：

 <腳本nonce =“ 2726C7F26C”>
  //信任的內(nèi)聯(lián)腳本
</script>

然後在CSP中：

 script-src'self''nonce-2726c7f26c';

服務(wù)器必須每個請求生成唯一的nonce - 永遠(yuǎn)不要重複使用。

2。第三方依賴性（分析，小部件，CDN）

諸如Google Analytics（分析），F(xiàn)acebook SDK或CloudFlare字體之類的工具需要外部域。

?修復(fù)：明確允許受信任的域：

 script-src'self'https://www.google-analytics.com https://apis.google.com;
font-src'self'https://fonts.gstatic.com;

僅允許特定主機(jī) - 避免使用*.com之類的通配符。

3。動態(tài)腳本或JSONP

某些舊版代碼會動態(tài)構(gòu)建腳本URL或使用eval() 。

？問題：這些經(jīng)常觸發(fā)CSP違規(guī)並表示不安全的模式。

?修復(fù)：

• 重構(gòu)使用模塊或安全的API。
• 對現(xiàn)代設(shè)置使用strict-dynamic ：

   script-src'self'“不安全界線”'strict-Dynamic'https：;

  如果由受信任的來源啟動，這允許腳本加載其他腳本。

??注意： strict-dynamic可提高兼容性，但如果妥協(xié)初始腳本，則可以降低保護(hù)。

測試和監(jiān)視您的CSP

配置錯誤的CSP可能會破壞您的網(wǎng)站。始終仔細(xì)測試。

測試步驟：

• 首先使用僅報(bào)告模式。
• 設(shè)置報(bào)告端點(diǎn)以收集違規(guī)行為：

   content-security-policy-horeply：default-src'self'; report-uri https://yourdomain.com/csp-reports

• 使用報(bào)告URI或自託管記錄儀等工具。
• 監(jiān)視日誌以獲取被阻塞的資源 - 他們將顯示破裂的內(nèi)容。

報(bào)告中的常見違規(guī)例子：

• 從'unsafe-inline'中阻止內(nèi)聯(lián)腳本
• 從cdnjs.cloudflare.com加載的腳本不在允許列表中
• 基本64編碼的圖像由於data:不在img-src中

報(bào)告清潔後，切換到執(zhí)行模式。

一個現(xiàn)實(shí)的強(qiáng)大CSP示例

這是使用Google字體和分析的典型現(xiàn)代Web應(yīng)用程序的平衡，安全的策略：

內(nèi)容 - 安全性： 
  默認(rèn)src'none';
  script-src'self''nonce-random123'https://www.google-analytics.com;
  style-src'self''不安全inline'https://fonts.googleapis.com;
  IMG-SRC“自我”數(shù)據(jù)：https：;
  font-src'self'https://fonts.gstatic.com;
  connect-src'self'https://api.yoursite.com;
  frame-src'none';
  object-src'none';
  bas-uri'自我';
  表格“自我”；
  Report-uri /csp-Violation-Report

關(guān)鍵改進(jìn)：

• default-src 'none'從零信任開始。
• 明確僅允許所需的內(nèi)容。
• 塊<object></object> ， <embed></embed>和不信任的框架。
• 將nonce用於內(nèi)聯(lián)腳本。
• 報(bào)告違反監(jiān)視的行為。

通過請求生成Nonce服務(wù)器端。

最後的想法

CSP並不是一個千篇一律的解決方案，但它是針對客戶端攻擊的最佳防禦能力之一。啟動小，使用僅報(bào)告的模式，修復(fù)斷裂，然後執(zhí)行。

記?。?/p>

• 避免使用'unsafe-inline'和'unsafe-eval' 。
• 使用Nonces或哈希進(jìn)行必要的內(nèi)聯(lián)腳本。
• 僅允許您信任的第三方域。
• 不斷監(jiān)視報(bào)告。

通過仔細(xì)調(diào)整，CSP可以使您的網(wǎng)站更具彈性 - 而無需犧牲功能。

基本上，這不是魔術(shù)，而是做對了，它是您為Web安全所做的最明智的舉動之一。

以上是內(nèi)容安全策略（CSP）的實(shí)用指南的詳細(xì)內(nèi)容。更多資訊請關(guān)注PHP中文網(wǎng)其他相關(guān)文章！