何谓 CSP

CSP （内容安全策略）的实质就是白名单制度，开发者明确告诉客户端，哪些外部资源可以加载和执行，等同于提供白名单。它的实现和执行全部由浏览器完成，开发者只需提供白名单的配置也就是CSP规则，下图为Github使用的CSP规则。

Content-Security-Policy: default-src ‘none’; base-uri ‘self’; block-all-mixed-content; connect-src ‘self’ uploads.github.com www.githubstatus.com collector.githubapp.com api.github.com www.google-analytics.com github-cloud.s3.amazonaws.com github-production-repository-file-5c1aeb.s3.amazonaws.com github-production-upload-manifest-file-7fdce7.s3.amazonaws.com github-production-user-asset-6210df.s3.amazonaws.com cdn.optimizely.com logx.optimizely.com/v1/events wss://alive.github.com; font-src github.githubassets.com; form-action ‘self’ github.com gist.github.com; frame-ancestors ‘none’; frame-src render.githubusercontent.com; img-src ‘self’ data: github.githubassets.com identicons.github.com collector.githubapp.com github-cloud.s3.amazonaws.com *.githubusercontent.com; manifest-src ‘self’; media-src ‘none’; script-src github.githubassets.com; style-src ‘unsafe-inline’ github.githubassets.com; worker-src github.com/socket-worker.js gist.github.com/socket-worker.js

CSP 大大增强了网页的安全性。攻击者即使发现了漏洞，也没法注入脚本，除非还控制了一台列入了白名单的可信主机（或者 origin/domain/host）。

如何为网站添加CSP规则

增加CSP规则有两种方式

在响应头中增加Content-Security-Policy或Content-Security-Policy-Report-Only字段
通过网页的标签

1	`<meta http-equiv="Content-Security-Policy" content="default-src 'self' .github.com .neixin.cn">`

CSP解决的安全问题

CSP可以有效解决XSS，HTTP劫持等问题，通过配置好的规则，确定页面中是否包含非法资源，与WAF配合让XSS攻击无从下手，下图为2019-2020年度漏洞占比，XSS占比漏洞最高。

2019-2020年度漏洞占比.png

CSP策略的两种使用方式

Content-Security-Policy （拦截所有非法请求）
Content-Security-Policy-Report-Only （上报所有非法请求，不进行拦截）

使用第二种方式的时候就需要增加report-uri字段告诉浏览器需要上报到什么地址。

CSP语法

一条CSP策略包含多条CSP指令，每个指令之间以;进行分割，每个指令包含指令名和指令值，均以空格进行分割，一个完整的CSP规则应该是以下格式的：

Content-Security-Policy: [指令名1] [指令值1] [指令值2]; [指令名2] [指令值1] [指令值2];

csp-格式.png

指令值的组成

指令值允许使用以下几种：

主机类型

指令值	解释
https://www.github.com	完整的指明了协议和域名
www.github.com	指明了域名，不限制协议
*.github.com	允许 github 所有子域名，不包含github.com本身，允许的协议是当前页面url使用的协议，而非任何协议都可以
https://*.github.com	https协议下的 github 所有子域名，不包含github.com本身
https://www.github.com/csp-report	https://www.github.com/csp-report下的资源
10.10.10.1	ip类资源
10.10.10.1:443	ip类+端口资源
http:	允许所有http协议资源

指令值的协议类型不支持通配符，不支持://.github.com这种形式，详细参考：https://www.w3.org/TR/CSP3/#framework-directive-source-list

关键字类型

关键字类型除*外需要用单引号包起来

指令值	解释
‘none’	不允许访问任何资源
‘self’	允许访问同源资源
*	允许访问所有资源
‘unsafe-inline’	允许内联资源如on事件，内联script、style标签
‘unsafe-eval’	允许使用eval等危险函数
‘report-sample’	在报告中体现部分违规代码

除了以上两种类型以外CSP还支持nonce-source和hash-source类型，用来指明当前页面合法的内联代码段，CSP项目目前不支持使用这两种方式进行配置，不做过多介绍。

可用的指令名

指令值	解释
default-src	default-src代表很多指令的集合，在这些指令没有被指定的情况下，浏览器会使用default-src的指令值给对应的指令
script-src	用于限制全局js加载源
script-src-elem	限制 Related Articles 2020-03-05 安全系统设计指南系统内部设计准则不要把开发者个人信息硬编码进系统中。不要带着调试代码上线。该脱敏的数据不能打在日志和写在 db 列中-可以存在于内存中。应使用KMS保存密码等信息。接口设计指南敏感接口，涉及敏感信息查询，资金流信息流修改的接口应该有鉴权机制。应该接入统一的 SSO 鉴权，或使用统一的 UPM/UAC 服务。在高并发的场景要加锁或者使用信号量（内部也试用了锁）机制来防止接口大量重入。接口的参数里涉及可遍历数据的要进行混淆操作-这和一般的 RESTful API 的设计思路相抵触。所有涉及敏感信息的地方都要根据敏感信息进行分类，防止泄露、篡改、越权。防止篡改，要单独使用非对称算法进行签名和验签。 magicliang 关于技术以及人生 Articles 336 Tags 188 Categories 0 Github Announcement 人生只是，守株待兔 Contents 1. 何谓 CSP 2. 如何为网站添加CSP规则 3. CSP解决的安全问题 4. CSP策略的两种使用方式 5. CSP语法 6. 指令值的组成 6.1. 主机类型 6.2. 关键字类型 7. 可用的指令名 Recent Posts 灵机一动的程序设计2025-01-13 Redis 开发与运维2024-11-04 大模型相关2024-11-01 雅思英语2024-10-25 不同时区2024-10-09 ©2017 - 2025 By magicliang Framework Hexo\|Theme Butterfly