目录
- 它是如何保证安全的?
- [如何实施 CSP?](#如何实施 CSP?)
- [安全测试者如何绕过 CSP?](#安全测试者如何绕过 CSP?)
- 只能辅助,不可做主力
内容安全策略(CSP)
内容安全策略(Content Security Policy, CSP) 是一个额外的安全层,用于帮助检测和缓解某些类型的攻击,包括跨站脚本(XSS)和数据注入攻击。
你可以把它看作是一个白名单制度 。你作为网站的管理员,服务器会返回一个特殊的 HTTP 头 (Content-Security-Policy)给浏览器:"这个网站只被允许执行来自以下来源的脚本、加载以下来源的图片、连接以下来源的服务器......",浏览器就会严格遵守这个规定,拒绝任何不在白名单上的内容。

简而言之:服务器给浏览器一份关于安全的声明,浏览器会按照声明来执行。
它是如何保证安全的?
传统的 XSS 防御(如我们上面代码中的转义和过滤)是服务端的,思路是"我把用户输入里的恶意代码清理掉,再输出给浏览器"。但这种方法可能存在漏洞,比如过滤规则被绕过。
CSP 的防御思路是客户端(浏览器端) 的,它从根本上改变了浏览器的行为:
-
阻断内联脚本和样式: 大多数 XSS 攻击都依赖于将恶意代码(如 < script >alert('xss') </script > 或 < img onerror="恶意代码" >) 直接注入到 HTML 页面中。CSP 默认禁止执行所有内联 JavaScript(包括 < script > 块和 HTML 事件处理程序如 onclick)和样式,除非你显式地允许它们(使用 'unsafe-inline' 或 nonce),这极大地增加了攻击难度。
-
限制资源加载的来源: 即使攻击者成功注入了标签,比如 < script src="https://evil.com/hack.js" >,浏览器在收到 CSP 指令后,会检查 src 中的域名 evil.com 是否在脚本加载的白名单中。如果不在,浏览器根本就不会去请求和加载这个恶意脚本。
-
禁止使用 eval() 等危险函数: CSP 默认会禁止使用像 eval()、setTimeout(string)、new Function(string) 这类可以执行字符串形式代码的危险函数,因为它们经常被攻击者利用。
如何实施 CSP?
通常通过在 Web 服务器的 HTTP 响应头中添加 Content-Security-Policy 字段来实现。字段里需要配置通过一系列指令来定义策略,具体指令自己需要再查询吧。
示例 1:一个严格且推荐的策略
http
Content-Security-Policy:
default-src 'self';
script-src 'self' https://cdn.jsdelivr.net; # 只允许同源和指定的 CDN 的脚本
style-src 'self' 'unsafe-inline'; # 允许内联样式(常见于框架)
img-src 'self' data:; # 允许同源和 data:URI 的图片
object-src 'none'; # 完全禁止插件
report-uri /api/csp-report; # 发生违规时向这个地址报告
安全测试者如何绕过 CSP?
虽然 CSP 很强大,但配置不当的 CSP 仍然可能被绕过。安全测试者会检查:
-
过于宽松的策略: 如果策略中包含 'unsafe-inline' 或 'unsafe-eval',或者白名单 (*),那么 CSP 提供的保护就大打折扣。
unsafe-inline------允许旧代码或框架中的内联脚本/样式。unsafe-eval------允许eval函数。
-
允许 data: URI: 如果 script-src 包含了 data:,攻击者可以注入 <script src="data:text/javascript,恶意代码" > </script >。
-
允许通配符 *: 过于宽泛的来源。
-
JSONP 端点滥用: 如果白名单中包含一个允许 JSONP 的第三方域名(如 Google Analytics 等旧 API),攻击者可能利用该域点的 JSONP 端点来执行代码,因为 JSONP 返回的是可执行代码。
-
AngularJS 等框架的绕过: 在特定版本的 AngularJS 中,即使禁止了 unsafe-eval,也有其他方式可以执行代码。
-
CSP 注入: 如果页面本身允许用户输入某些内容并反射到 CSP 头中(极其罕见但确实存在),攻击者可能会注入一些指令来修改策略。
只能辅助,不可做主力
-
CSP无法替代输入过滤;
若开发者完全依赖CSP而忽略输入验证(如未转义用户输入),攻击者仍可能通过DOM型XSS或绕过CSP的其他方式(如滥用JSONP接口)发起攻击。
-
CSP只是作为纵深防御层;
-
在使用前,需要做测试,有的前端框架并不能很好兼容CSP;