Content Security Polic (网页安全政策,缩写 CSP)

CSP 大大增强了网页的安全性。攻击者即使发现了漏洞,也没法注入脚本,除非还控制了一台列入了白名单的可信主机。

两种方法可以启用 CSP。

一种是通过 HTTP 头信息的Content-Security-Policy的字段

Content-Security-Policy: script-src 'self'; object-src 'none';
	style-src cdn.example.org third-party.org; child-src https:

另一种是通过网页的<meta>标签 <meta http-equiv="Content-Security-Policy" content="script-src 'self'; object-src 'none'; style-src cdn.example.org third-party.org; child-src https:">

资源加载限制指令表

指令
指令值示例
说明
default-src 'self' cnd.a.com

定义针对所有类型(js、image、css、web font,ajax请求,iframe,多媒体等)资源的默认加载策略,某类型资源如果没有单独定义策略,就使用默认的。

script-src 'self' js.a.com 定义针对JavaScript的加载策略。
style-src 'self' css.a.com 定义针对样式的加载策略。
img-src 'self' img.a.com 定义针对图片的加载策略。
connect-src 'self'

针对Ajax、WebSocket等请求的加载策略。不允许的情况下,浏览器会模拟一个状态为400的响应。

font-src font.a.com 针对Web Font的加载策略。
object-src 'self' 针对<object>、<embed>或<applet>等标签引入的flash等插件的加载策略。
media-src media.a.com 针对<audio>或<video>等标签引入的html多媒体的加载策略。
frame-src 'self' 针对frame的加载策略。
sandbox allow-forms

对请求的资源启用sandbox(类似于iframe的sandbox属性)。

report-uri /report-uri

告诉浏览器如果请求的资源不被策略允许时,往哪个地址提交日志信息。

特别的:如果只想让浏览器汇报日志,而不阻止任何内容。可以改用Content-Security-Policy-Report-Only响应头。

指令值组合说明

运营商劫持临时解决方案

<!--脚本加载白名单 【临时解决方案,后续还是要使用https来解决这个问题】-->
	<meta http-equiv="Content-Security-Policy" content="script-src 'unsafe-inline' 'unsafe-eval' *.sjzhushou.com *.xunlei.com">

浏览器兼容性以及相关资料

  • http://caniuse.com/#feat=contentsecuritypolicy
  • http://www.html5rocks.com/en/tutorials/security/content-security-policy/

相关内容推荐