What is CSP (内容安全策略)?

目录


内容安全策略(CSP)

内容安全策略(Content Security Policy, CSP) 是一个额外的安全层,用于帮助检测和缓解某些类型的攻击,包括跨站脚本(XSS)和数据注入攻击。

你可以把它看作是一个白名单制度 。你作为网站的管理员,服务器会返回一个特殊的 HTTP 头 (Content-Security-Policy)给浏览器:"这个网站只被允许执行来自以下来源的脚本、加载以下来源的图片、连接以下来源的服务器......",浏览器就会严格遵守这个规定,拒绝任何不在白名单上的内容。

简而言之:服务器给浏览器一份关于安全的声明,浏览器会按照声明来执行。


它是如何保证安全的?

传统的 XSS 防御(如我们上面代码中的转义和过滤)是服务端的,思路是"我把用户输入里的恶意代码清理掉,再输出给浏览器"。但这种方法可能存在漏洞,比如过滤规则被绕过。

CSP 的防御思路是客户端(浏览器端) 的,它从根本上改变了浏览器的行为:

  • 阻断内联脚本和样式: 大多数 XSS 攻击都依赖于将恶意代码(如 < script >alert('xss') </script > 或 < img onerror="恶意代码" >) 直接注入到 HTML 页面中。CSP 默认禁止执行所有内联 JavaScript(包括 < script > 块和 HTML 事件处理程序如 onclick)和样式,除非你显式地允许它们(使用 'unsafe-inline' 或 nonce),这极大地增加了攻击难度。

  • 限制资源加载的来源: 即使攻击者成功注入了标签,比如 < script src="https://evil.com/hack.js" >,浏览器在收到 CSP 指令后,会检查 src 中的域名 evil.com 是否在脚本加载的白名单中。如果不在,浏览器根本就不会去请求和加载这个恶意脚本。

  • 禁止使用 eval() 等危险函数: CSP 默认会禁止使用像 eval()、setTimeout(string)、new Function(string) 这类可以执行字符串形式代码的危险函数,因为它们经常被攻击者利用。

如何实施 CSP?

通常通过在 Web 服务器的 HTTP 响应头中添加 Content-Security-Policy 字段来实现。字段里需要配置通过一系列指令来定义策略,具体指令自己需要再查询吧。

示例 1:一个严格且推荐的策略

http 复制代码
Content-Security-Policy: 
  default-src 'self';
  script-src 'self' https://cdn.jsdelivr.net; # 只允许同源和指定的 CDN 的脚本
  style-src 'self' 'unsafe-inline'; # 允许内联样式(常见于框架)
  img-src 'self' data:; # 允许同源和 data:URI 的图片
  object-src 'none'; # 完全禁止插件
  report-uri /api/csp-report; # 发生违规时向这个地址报告

安全测试者如何绕过 CSP?

虽然 CSP 很强大,但配置不当的 CSP 仍然可能被绕过。安全测试者会检查:

  • 过于宽松的策略: 如果策略中包含 'unsafe-inline' 或 'unsafe-eval',或者白名单 (*),那么 CSP 提供的保护就大打折扣。

    unsafe-inline------允许旧代码或框架中的内联脚本/样式。unsafe-eval------允许eval函数。

  • 允许 data: URI: 如果 script-src 包含了 data:,攻击者可以注入 <script src="data:text/javascript,恶意代码" > </script >。

  • 允许通配符 *: 过于宽泛的来源。

  • JSONP 端点滥用: 如果白名单中包含一个允许 JSONP 的第三方域名(如 Google Analytics 等旧 API),攻击者可能利用该域点的 JSONP 端点来执行代码,因为 JSONP 返回的是可执行代码。

  • AngularJS 等框架的绕过: 在特定版本的 AngularJS 中,即使禁止了 unsafe-eval,也有其他方式可以执行代码。

  • CSP 注入: 如果页面本身允许用户输入某些内容并反射到 CSP 头中(极其罕见但确实存在),攻击者可能会注入一些指令来修改策略。


只能辅助,不可做主力

  • CSP无法替代输入过滤;

    若开发者完全依赖CSP而忽略输入验证(如未转义用户输入),攻击者仍可能通过DOM型XSS或绕过CSP的其他方式(如滥用JSONP接口)发起攻击。

  • CSP只是作为纵深防御层;

  • 在使用前,需要做测试,有的前端框架并不能很好兼容CSP;

相关推荐
xyphf_和派孔明1 个月前
关于Web前端安全防御之内容安全策略(CSP)
安全·csp·内容安全策略
黑色火種2 个月前
CCF CSP第一轮认证一本通
c++·csp·ccf·信奥赛·noi
mochensage4 个月前
CSP-J/S初赛知识点:计算机网络与Internet基本概念知识点
计算机网络·csp
Dream it possible!5 个月前
CCF CSP 第36次(2024.12)(1_移动_C++)
c++·ccf csp·csp
Dream it possible!5 个月前
CCF CSP 第35次(2024.09)(1_密码_C++)(哈希表)
c++·散列表·ccf csp·csp
玉树临风ives6 个月前
2023 CSP-J 题解
c++·算法·图论·csp
Dream it possible!6 个月前
CCF CSP 第30次(2023.09)(1_坐标变换_C++)(先输入再计算;边输入边计算)
c++·算法·csp
王老师青少年编程6 个月前
信奥赛CSP-J复赛集训(模拟算法专题)(4):P1046 [NOIP 2005 普及组] 陶陶摘苹果
数据结构·c++·算法·模拟算法·gesp·csp·信奥赛
王老师青少年编程6 个月前
【GESP C++八级考试考点详细解读】
数据结构·c++·算法·gesp·csp·信奥赛