使用Content-Security-Policy報告僅在僅報告模式下以基本的CSP開始，以避免破壞功能。 2。設置報告端點以收集違規(guī)數(shù)據(jù)並確定未經(jīng)授權(quán)的資源。 3。通過收緊指示（使用“自我”，特定的域，nonces或哈希）而不是“不安全的內(nèi)線”或 *。 4。應用腳本SRC，樣式SRC，IMG-SRC和Connect-SRC等關(guān)鍵指令限制資源加載。 5。通過徹底測試，處理動態(tài)內(nèi)容並防止通過Connect-SRC徹底滲透來避免常見的陷阱。 6。使用Sentry或報告URI等工具自動監(jiān)視，並將CSP檢查集成到CI/CD中。通過執(zhí)行嚴格的內(nèi)容源控件，正確實施CSP可以顯著降低XS和注入風險。

確保您的前端：內(nèi)容安全策略指南（CSP）

如果您要構(gòu)建現(xiàn)代的Web應用程序，則可能會從各種來源汲取腳本，樣式，圖像和其他資源。但是，每個外部資源都是潛在的攻擊矢量，尤其是用於跨站點腳本（XSS）和數(shù)據(jù)注入攻擊。這是內(nèi)容安全策略（CSP）所在的地方。它不是一個魔術(shù)子彈，但它是您可以實現(xiàn)的最有效的前端安全控制之一。

CSP可幫助您定義哪些內(nèi)容來源是信任的，從而降低了惡意代碼執(zhí)行的風險。讓我們分解它的工作原理以及如何有效實施它。

什麼是內(nèi)容安全策略？

CSP是HTTP響應標頭（ Content-Security-Policy ），可讓您聲明網(wǎng)頁批準的內(nèi)容源。瀏覽器強制執(zhí)行此策略，阻止任何與規(guī)則不符的任何內(nèi)容。將其視為白名單，以便您的網(wǎng)站可以加載腳本，樣式，字體，圖像等。

沒有CSP，如果攻擊者設法注入腳本（例如，通過註釋表格），瀏覽器將執(zhí)行它。使用強大的CSP，即使它進入頁面，注入的腳本也不會運行。

示例CSP標頭：

 content-security-policy：default-src'self'; script-src'self'https://trusted.cdn.com; img-src *; style-src'self'“不安全界線”

這告訴瀏覽器：

• 默認情況下僅加載來自相同原點的資源
• 允許腳本來自相同的來源和https://trusted.cdn.com
• 允許任何域中的圖像
• 允許來自相同原點和內(nèi)聯(lián)樣式的樣式（儘管'unsafe-inline'削弱了安全性）

您應該知道的關(guān)鍵CSP指令

每個指令都控制著不同類型的資源。這是最重要的：

• default-src - 大多數(shù)其他指令的後備，如果未明確設置
• script-src - 控制JavaScript可以從位置加載的位置（XSS保護至關(guān)重要）
• style-src - 定義CSS的有效資源
• img-src - 限製圖像加載起源
• font-src - 指定允許的字體源
• connect-src - 限制可以通過AJAX，Websocket等加載的URL。
• frame-src - 控制哪些站點可以嵌入iframes中
• object-src - 對於諸如Flash之類的插件（應受到限制）
• base-uri - 防止<base>標籤劫持
• form-action - 限制可以用作形式目標的URL

除非絕對必要，避免在腳本src中使用不安全的選項，例如script-src中的'unsafe-inline'或'unsafe-eval' ，即使這樣，也要考慮替代方案。

如何有效實施CSP

實施CSP可能很棘手，因為如果不仔細完成，它可能會破壞您的網(wǎng)站。這是一種實用方法：

1. 以僅報告的模式開始使用Content-Security-Policy-Report-Only在不執(zhí)行的情況下測試您的策略。這使您可以在不破壞功能的情況下捕獲違規(guī)行為。

    content-security-policy-horeply：default-src'self'; Report-uri /csp-Report-endpoint

2. 收集和分析違規(guī)行為建立了報告端點（例如/csp-report-endpoint ）來收集違規(guī)報告。這些JSON有效載荷將向您展示被阻止的內(nèi)容，並幫助您完善您的政策。

3. 根據(jù)報告進行迭代並收緊，調(diào)整您的政策。例如，如果您的應用程序加載Google字體，請將fonts.googleapis.com添加到font-src 。

4. 避免過於允許的規(guī)則，除非您沒有其他選擇，否則不要使用*或'unsafe-inline' 。反而：

   • 在內(nèi)聯(lián)腳本中使用Nonces或哈希
   • 主機在可能的情況下本地的第三方庫
   • 使用嚴格的動態(tài)進行現(xiàn)代腳本加載

5. 如果您必須使用內(nèi)聯(lián)腳本（例如，用於分析），請使用nonces或哈希進行內(nèi)聯(lián)腳本，請使用唯一的加密nonce：

    <腳本nonce =“ 2726C7F26C”>
     //您的內(nèi)聯(lián)腳本
   </script>

   在您的CSP中：

    Script-SRC'NONCE-2726C7F26C'

   或者，使用腳本內(nèi)容的哈希：

    Script-SRC'SHA256-0QZ8ROZ9FJ5Z3K3F5 ...'

   ---

   常見的陷阱以及如何避免它們

   • 使用嚴格的策略→始終首先以僅報告模式進行測試。
   • 使用unsafe-inline樣式/腳本→這打敗了CSP的目的。使用Nonces或遷移到外部文件。
   • 忘記動態(tài)內(nèi)容→AJAX，Websockets和重定向由connect-src和frame-src控制。
   • 折衷的腳本也可以通過connect-src發(fā)送數(shù)據(jù)，也無法防止數(shù)據(jù)剝落→即使使用CSP。仔細限制該指令。

   ---

   獎金：自動化和監(jiān)視

   • 使用報告URI或Sentry等工具來收集和分析CSP違規(guī)行為。
   • 將CSP檢查集成到您的CI/CD管道中。
   • 監(jiān)測突然違規(guī)的尖峰 - 他們可能表明攻擊未遂。

   ---

   CSP並不難開始，但是正確地關(guān)注它。從基本政策開始，使用報告指導改進，然後逐漸鎖定事情。回報？對XSS和內(nèi)容注入攻擊的防禦要強得多。

   基本上，如果您不使用CSP，則將留下關(guān)鍵的門解鎖。關(guān)閉它。

   以上是確保您的前端：內(nèi)容安全策略指南（CSP）的詳細內(nèi)容。更多資訊請關(guān)注PHP中文網(wǎng)其他相關(guān)文章！