❗ 本文最后更新于 2846 天前,文中所描述的信息可能已发生改变,请谨慎使用。
本文要介绍的是 W3C 的 Content Security Policy,简称 CSP。顾名思义,这个规范与内容安全有关,主要是用来定义页面可以加载哪些资源,减少 XSS 的发生。
Chrome 扩展已经引入了 CSP,通过 manifest.json 中的 content_security_policy
字段来定义。一些现代浏览器也支持通过响应头来定义 CSP。下面我们主要介绍如何通过响应头来使用 CSP,Chrome 扩展中 CSP 的使用可以参考 Chrome 官方文档。
浏览器兼容性
早期的 Chrome 是通过 X-WebKit-CSP
响应头来支持 CSP 的,而 firefox 和 IE 则支持 X-Content-Security-Policy
,Chrome25 和 Firefox23 开始支持标准的 Content-Security-Policy
,见下表。
响应头 | Chrome | Firefox | Safari | IE |
---|---|---|---|---|
Content-Security-Policy | 25+ | 23+ | - | - |
X-Content-Security-Policy | - | 4.0+ | - | 10.0(有限的) |
X-Webkit-CSP | 14+ | - | 6+ | - |
完整的浏览器 CSP 支持情况请移步 CanIUse。
如何使用
要使用 CSP,只需要服务端输出类似这样的响应头就行了:
Content-Security-Policy: default-src 'self'
default-src
是 CSP 指令,多个指令之间用英文分号分割;'self'
是指令值,多个指令值用英文空格分割。目前,有这些 CSP 指令:
指令 | 指令值示例 | 说明 |
---|---|---|
default-src | 'self' cnd.a.com | 定义针对所有类型(js、image、css、web font,ajax 请求,iframe,多媒体等)资源的默认加载策略,某类型资源如果没有单独定义策略,就使用默认的。 |
script-src | 'self' js.a.com | 定义针对 JavaScript 的加载策略。 |
style-src | 'self' css.a.com | 定义针对样式的加载策略。 |
img-src | 'self' img.a.com | 定义针对图片的加载策略。 |
connect-src | 'self' | 针对 Ajax、WebSocket 等请求的加载策略。不允许的情况下,浏览器会模拟一个状态为 400 的响应。 |
font-src | font.a.com | 针对 WebFont 的加载策略。 |
object-src | 'self' | 针对 <object>、<embed> 或 <applet> 等标签引入的 flash 等插件的加载策略。 |
media-src | media.a.com | 针对 <audio> 或 <video> 等标签引入的 HTML 多媒体的加载策略。 |
frame-src | 'self' | 针对 frame 的加载策略。 |
sandbox | allow-forms | 对请求的资源启用 sandbox(类似于 iframe 的 sandbox 属性)。 |
report-uri | /report-uri | 告诉浏览器如果请求的资源不被策略允许时,往哪个地址提交日志信息。
特别的:如果想让浏览器只汇报日志,不阻止任何内容,可以改用 Content-Security-Policy-Report-Only 头。 |
指令值可以由下面这些内容组成:
指令值 | 指令示例 | 说明 |
---|---|---|
img-src | 允许任何内容。 | |
'none' | img-src 'none' | 不允许任何内容。 |
'self' | img-src 'self' | 允许来自相同来源的内容(相同的协议、域名和端口)。 |
data: | img-src data: | 允许 data: 协议(如 base64 编码的图片)。 |
www.a.com | img-src img.a.com | 允许加载指定域名的资源。 |
.a.com | img-src .a.com | 允许加载 a.com 任何子域的资源。 |
https://img.com | img-src https://img.com | 允许加载 img.com 的 https 资源(协议需匹配)。 |
https: | img-src https: | 允许加载 https 资源。 |
'unsafe-inline' | script-src 'unsafe-inline' | 允许加载 inline 资源(例如常见的 style 属性,onclick,inline js 和 inline css 等等)。 |
'unsafe-eval' | script-src 'unsafe-eval' | 允许加载动态 js 代码,例如 eval()。 |
从上面的介绍可以看到,CSP 协议可以控制的内容非常多。而且如果不特别指定 'unsafe-inline'
时,页面上所有 inline 样式和脚本都不会执行;不特别指定 'unsafe-eval'
,页面上不允许使用 new Function,setTimeout,eval 等方式执行动态代码。在限制了页面资源来源之后,被 XSS 的风险确实小不少。
当然,仅仅依靠 CSP 来防范 XSS 是远远不够的,不支持全部浏览器是它的硬伤。不过,鉴于低廉的开发成本,加上也没什么坏处。如果担心影响面太大,也可以像下面这样,仅收集不匹配规则的日志,先观察下:
Content-Security-Policy-Report-Only: script-src 'self'; report-uri http://test/
这样,如果页面上有 inline JS,依然会执行,只是浏览器会向指定地址发送一个 POST 请求,包含这样的信息:
{"csp-report":{"document-uri":"http://test/test.php","referrer":"","violated-directive":"script-src 'self'","original-policy":"script-src 'self'; report-uri http://test/","blocked-uri":""}}
CSP 先介绍到这里。现代浏览器支持不少与安全有关的响应头,以后接着再介绍。已经写完了,请点这里继续浏览。
本文链接:https://imququ.com/post/content-security-policy-reference.html,参与评论 »
--EOF--
发表于 2013-07-22 18:40:39,并被添加「XSS、Header、CSP」标签,最后修改于 2017-02-21 17:20:32。查看本文 Markdown 版本 »
专题「HTTP 相关」的其他文章 »
- 记一次图片访问异常排查过程 (Apr 28, 2023)
- HTTP Alternative Services 介绍 (Aug 21, 2016)
- 关于启用 HTTPS 的一些经验分享(三) (May 05, 2016)
- 如何压缩 HTTP 请求正文 (Apr 18, 2016)
- HTTP 协议中的 Content-Encoding (Apr 17, 2016)
- 三种解密 HTTPS 流量的方法介绍 (Mar 28, 2016)
- HTTP Public Key Pinning 介绍 (Mar 05, 2016)
- 关于启用 HTTPS 的一些经验分享(二) (Dec 22, 2015)
- 关于启用 HTTPS 的一些经验分享(一) (Dec 04, 2015)
- HTTP 代理原理及实现(二) (Nov 20, 2015)
Comments
Waline 评论加载中...