首先要使用內(nèi)容 - 安全性報告，以監(jiān)視違規(guī)行為而無需執(zhí)行。 2。設(shè)置報告-URI端點，以收集和分析CSP違規(guī)報告。 3.使用默認的src'none'構(gòu)建嚴格的策略，並明確允許所需的來源。 4。通過用外部文件或使用Nonces/Hashes替換內(nèi)聯(lián)腳本來消除不安全的做法。 5。部署強制政策，並不斷監(jiān)視報告以完善指令。 CSP必須逐步實施，避免“不安全的內(nèi)線”和“不安全範圍”，白名單僅信任域，並確保與網(wǎng)站功能的兼容性，同時維持強大的報告以儘早檢測問題。

內(nèi)容安全策略（CSP）是一項強大的瀏覽器功能，可幫助防止廣泛的攻擊，尤其是跨站點腳本（XSS）和數(shù)據(jù)注入攻擊。通過定義哪些內(nèi)容源可以在網(wǎng)頁上加載，CSP充當了深入的防禦機制，限制了損壞惡意腳本可能導致的損害，即使它們以某種方式註射。

這是有效理解和實施CSP的方法。

什麼是內(nèi)容安全策略？

CSP是一個HTTP響應(yīng)標頭（ Content-Security-Policy ），可讓您聲明允許瀏覽器加載和執(zhí)行哪些域和類型的內(nèi)容。例如，您可以指定：

• 可以從哪裡加載腳本
• 哪些域可以將您的網(wǎng)站嵌入iframe
• 是否允許內(nèi)聯(lián)腳本或eval()

如果沒有CSP，瀏覽器將加載和執(zhí)行任何來源的腳本，包括通過漏洞注入的潛在惡意。

CSP通過定義HTTP標題中的策略（指令字符串）來起作用：

 content-security-policy：default-src'self'; Script-Src'self'; IMG-SRC“自我”數(shù)據(jù)：; style-src'self'“不安全界線”

每個指令都控制著不同類型的資源。

您應(yīng)該知道的關(guān)鍵CSP指令

這是最常用的指令：

• default-src ：大多數(shù)資源類型的後備（如果未明確設(shè)置）。
• script-src ：控制JavaScript可以從（包括Inline和eval() ）加載JavaScript。
• style-src ：控制CSS來源，包括內(nèi)聯(lián)樣式。
• img-src ：定義有效的圖像源。
• connect-src ：限制可以通過腳本加載的URL（例如， fetch ， XMLHttpRequest ）。
• font-src ：指定允許的字體源。
• frame-ancestors ：控制哪些站點可以嵌入您的頁面（替換X-Frame-Options ）。
• object-src ：對於諸如Flash之類的插件（應(yīng)受到限制）。
• base-uri ：限制<base>標籤以防止重定向攻擊。
• form-action ：限制可以用作形式目標的URL。

??最佳實踐：避免'unsafe-inline'和'unsafe-eval' 。這些通過允許危險的執(zhí)行模式來打敗CSP的目的。

如何逐步實施CSP

實施CSP可能很棘手，因為過度嚴格的政策可能會破壞您的網(wǎng)站。請按照以下步驟：

1。以僅報告的模式開始

使用Content-Security-Policy-Report-Only不執(zhí)行政策的情況下測試您的策略：

 content-security-policy-horeply：default-src'self'; Report-uri /csp-Report-endpoint

這使您可以通過報告端點收集違規(guī)行為而不會破壞用戶。

2。設(shè)置報告端點

添加report-uri或report-to指令以收到違規(guī)報告：

 Report-uri /csp侵入捕獲

您的服務(wù)器應(yīng)接受此端點的發(fā)布請求並記錄JSON報告。示例報告：

 {
  “ csp-Report”：{
    “ document-uri”：“ https：//example.com/page”，
    “違反指導”：“ script-src'self'”，
    “ blocked-uri”：“ https：//malicious.com/evil.js”，
    “原始政策”：“ script-src'self'; ...”
  }
}

這些報告有助於確定需要或修復(fù)的內(nèi)容。

3。制定現(xiàn)實的政策

從限制性基礎(chǔ)開始，僅允許必要的內(nèi)容：

內(nèi)容 - 安全性： 
  默認src'none';
  script-src'self'https://trusted-cdn.com;
  style-src'self'“不安全界線”；
  img-src'自我數(shù)據(jù)：https：//images.example.com;
  字體src'self';
  連接src'self';
  框架 - 自我'；
  表格“自我”；
  bas-uri'自我';

• 除非明確允許，否則請使用'none'作為默認情況阻止所有內(nèi)容。
• 僅添加您真正依賴的第三方域（例如，Google字體，分析）。

4。消除不安全的做法

加強CSP：

• 用外部文件替換直列腳本。
• 使用nonce或hash進行不可避免的內(nèi)聯(lián)腳本：

 <腳本nonce =“ 2726C7F26C”>
  //內(nèi)聯(lián)腳本
</script>

然後在CSP中：

 script-src'self''nonce-2726c7f26c'

• 避免eval() ;如果需要，重構(gòu)代碼。

5。部署和監(jiān)視

測試完成後，將從Report-Only的完整執(zhí)行切換。繼續(xù)監(jiān)視報告以捕獲邊緣案例。

常見的陷阱和技巧

• *不允許在生產(chǎn)中允許` or不安全的內(nèi)線。 **它們破壞了安全性。
• CDN和外部腳本必須明確列出。
• 數(shù)據(jù)URL （ data:應(yīng)限於img-src等特定指令。
• 自我包括同一方案- 如果您的網(wǎng)站是https，則'self'將不允許http。
• 瀏覽器支持非常出色，但始終在主要瀏覽器中進行測試。

最後的想法

CSP不是銀彈，但它是現(xiàn)代網(wǎng)絡(luò)安全性的關(guān)鍵層。開始小，使用報告並逐漸收緊政策。目標不是第一天的完美，而是降低攻擊表面的進展。

通過仔細的實施，CSP可以在執(zhí)行之前阻止整個攻擊類別。它並不復(fù)雜，但確實需要注意細節(jié)。做對了，您將使XSS更難利用。

基本上，定義您的網(wǎng)站所需的內(nèi)容，阻止其餘部分，並密切關(guān)注報告。

以上是了解和實施內(nèi)容安全策略（CSP）的詳細內(nèi)容。更多資訊請關(guān)注PHP中文網(wǎng)其他相關(guān)文章！