CSP主要用来定义页面可以加载哪些资源(JS/CSS/FONT/IFRAME/XHR/…),可以有效起到很多安全作用!
作用
- 防止运营商劫持(使用script-src限制指定域的JS代码才能运行,避免运营商插入代码)
- 防止XSS攻击(很多XSS攻击会去引用其他站点恶意代码在本站执行)
- 防止点击劫持
- 防止Android WebView UXSS(禁止iFrame嵌套其他站点内容等)
- …
浏览器支持
Content-Security-Policy
- Chrome 26+
X-WebKit-CSP
- Safari 5.1+
- Chrome 14-25
X-Content-Security-Policy
- Firefox 4+
- Internet Explorer 10+
语法例子:
1
| Content-Security-Policy: default-src 'self'
|
PHP用法:
1
| header("Content-Security-Policy: script-src 'self' 'unsafe-inline' 'unsafe-eval'; ");
|
策略设置
| 键 | 指令值 | 描述 |
|---|
| default-src | ‘self’ cdn.wufeifei.com | 定义所有资源类型使用默认加载策略 |
| script-src | ‘self’ js.wufeifei.com | 定义JavaScript加载策略 |
| style-src | ‘self’ css.wufeifei.com | 定义Style样式加载策略 |
| img-src | ‘self’ img.wufeifei.com | 定义image图片加载策略 |
| content-src | ‘self’ | 定义Xhr/Ajax/WebSockets/EventSource等请求的加载策略.不允许的话会出现400 |
| font-src | font.wufeifei.com | 定义Web Font加载策略 |
| object-src | ‘self’ | 定义<object>/<embed>/<applet>等标签引入的flash加载策略 |
| media-src | media.wufeifei.com | 定义<audio>/<video>等标签引入的多媒体加载策略 |
| frame-src | ‘self’ | 定义iframe加载策略.有效防止ClickJacking(点击劫持) |
| sandbox | allow-forms | 定义请求资源使用sandbox |
| report-uri | /report-uri | 定义的策略如果不允许时,将POST一个请求到该地址 |
指令值
| 值 | 说明 |
|---|
| * | 允许任何内容 |
| ‘none’ | 不允许任何内容 |
| ‘self’ | 运行同源内容 |
| data | 运行data:协议(Base64图片) |
| www.wufeifei.com | 允许加载指定域 |
| 144.144.144.144 | 允许加载指定IP |
| *.wufeifei.com | 允许加载子域 |
| https://wufeifei.com | 允许加载https指定域 |
| https: | 允许加载https资源 |
| ‘unsafe-inline’ | 允许加载内联资源 |
| ‘unsafe-eval’ | 允许动态加载js,如eval()/newFunction()/setTimeout()/setInterval() |
一.CSP
1
| Content-Security-Policy: 策略(script-src/style-src/...) 指令值(除域名/IP外需要加引号,每个值以空格分隔;策略(每个策略以分号分割) 指令值)
|
例子(代码需要加在输出页面内容前):
1
| header("Content-Security-Policy: script-src 'self' 'unsafe-inline' 'unsafe-eval' *.google-analytics.com; ");
|
1
| header("Content-Security-Policy: script-src 'self' 'unsafe-inline' 'unsafe-eval'; font-src: 'self' *.google-font.com");
|
二.CSP-REPORT
正式加入生产环境前可以先仅收集一段时间的不匹配规则日志,观察一段时间没有问题再上生产环境。或者仅仅作为监控异常行为来使用也可以!
1
| Content-Security-Policy-Report-Only: script-src 'self'; report-uri http://www.wufeifei.com/csp-report.html
|
加入上述代码后定义的加载策略还是会执行,只不过会POST一个Content-Type:的JSON请求到csp-report.html上,格式如下:
1
2
3
4
5
6
7
8
9
10
11
12
| {"csp-report":{
"document-uri":"http://wufeifei.com/about",// 触发页面
"referrer":"http://wufeifei.com", // 触发页面的来源页
"violated-directive":"script-src 'self'", // 触发规则
"original-policy":"script-src 'self'; // 原始规则
report-uri http://www.wufeifei.com/csp-report.html",// 接收报告地址
"blocked-uri":"http://www.google-analytics.com", // 触发原因
"source-file":"http://wufeifei.com/link", // 违反链接
"line-number":4, // 违反链接行数定位
"column-number":75, // 违反链接列数定位
"status-code":200, // 页面状态码
}}
|
服务端接收:
1
2
| $data = file_get_contents("php://input");
error_log($data);
|
总结
CSP不支持所有浏览器是硬伤,不过开发工作量低,加上也能改善一部分安全,尤其是移动端基本上都支持!浏览器也一直在更新,还是一个趋势,强烈推荐加入!
更多
W3C CSP
