|
CSP:Content-Security-Policy Firefox用户前端防止脚本注入攻击的一个技术,暂时其它浏览器未支持。
规范的步骤是: 1,服务端发送声明X-Content-Security-Policy的html头(或者meta,于所有meta之前)。 2,浏览器根据服务端返回的X-Content-Security-Policy进行选择性html渲染。(包括是否加载外域链接、是否允许内联脚本,是否允许eval)
重点列举几类申明: 1、X-Content-Security-Policy: allow 'self'; 不允许外部链接 2、X-Content-Security-Policy: allow 'self'; img-src *; 不允许除图片以外的外部链接 3、X-Content-Security-Policy: allow 'self'; img-src *; object-src media1.com media2.com; script-src userscripts.example.com 媒体文件必须在该白名单上 脚本文件可以是白名单域名下的文件 4、X-Content-Security-Policy: policy-uri /~bsterne/content-security-policy/tests/csp-policy.cgi 使用独立的权限定义文件 5、使用options inline-script允许内部脚本
| 
免费注册
发表于 2011-12-20 09:47