div中的datarole（div中的文字垂直居中）

feilongw 2025-03-25 18:59 78 浏览

CSP浅析与绕过

XSS是最常见、危害最大的网页安全漏洞，想要抵御它们，要采取非常多编程措施，非常麻烦。那么，有没有可以从根本上解决问题，浏览器自动禁止外部注入恶意脚本的方法呢？CSP应运而生。

什么是CSP

CSP（Content Security Policy，内容安全策略），是网页应用中常见的一种安全保护机制，它实质就是白名单制度，开发者明确告诉客户端，哪些外部资源可以加载和执行，哪些不可以

CSP如何工作

通过响应包头（Response Header）实现：

Content-Security-policy: default-src 'self'; script-src 'self' allowed.com; img-src 'self' allowed.com; style-src 'self';

通过HTML 元标签实现：

【——全网最全的网络安全学习资料包分享给爱学习的你，关注我，私信回复“领取”获取——】

1.网络安全多个方向学习路线

2.全网最全的CTF入门学习资料

3.一线大佬实战经验分享笔记

4.网安大厂面试题合集

5.红蓝对抗实战技术秘籍

6.网络安全基础入门、Linux、web安全、渗透测试方面视频

CSP指令

我们可以看出，有一部分是CSP中常用的配置参数指令，我们也是通过这些参数指令来控制引入源，下面列举说明：

script-src：外部脚本

style-src：样式表

img-src：图像

media-src：媒体文件（音频和视频）

font-src：字体文件

object-src：插件（比如 Flash）

child-src：框架

frame-ancestors：嵌入的外部资源（比如、、<embed>和）

connect-src：HTTP 连接（通过 XHR、WebSockets、EventSource等）

worker-src：worker脚本

manifest-src：manifest 文件

dedault-src：默认配置

frame-ancestors：限制嵌入框架的网页

base-uri：限制

form-action：限制

block-all-mixed-content：HTTPS 网页不得加载 HTTP 资源（浏览器已经默认开启）

upgrade-insecure-requests：自动将网页上所有加载外部资源的 HTTP 链接换成 HTTPS 协议

plugin-types：限制可以使用的插件格式

sandbox：浏览器行为的限制，比如不能有弹出窗口等。

除了Content-Security-Policy，还有一个Content-Security-Policy-Report-Only字段，表示不执行限制选项，只是记录违反限制的行为。它必须与report-uri选项配合使用。

Content-Security-Policy-Report-Only: default-src 'self'; ...; report-uri /my_amazing_csp_report_parser;

CSP指令值

介绍完CSP的指令，下面介绍一下指令值，即允许或不允许的资源

*：星号表示允许任何URL资源，没有限制；

self：表示仅允许来自同源（相同协议、相同域名、相同端口）的资源被页面加载；

data：仅允许数据模式（如Base64编码的图片）方式加载资源；

none：不允许任何资源被加载；

unsafe-inline：允许使用内联资源，例如内联<script>标签，内联事件处理器，内联

上一篇：软盘与软盘驱动器（软盘驱动器是主机吗）
下一篇：服务器前台常出现的提示及含意

div中的datarole（div中的文字垂直居中）

相关推荐

esp32s3按键长按检测 esp32 touch