网站开启CSP防御跨站脚本XSS

昨天看到一个竟然可以任意外置的聊天框,只要在地址栏填入JS就可以做聊天室了
网站开启CSP防御跨站脚本XSS
貌似有些不可以的,Github开启了CSP就不能,可能会有疑问"CSP“是个什么东西?百度百科的解答:
一、简介
CSP指的是内容安全策略,为了缓解很大一部分潜在的跨站脚本问题,浏览器的扩展程序系统引入了内容安全策略(CSP)的一般概念。这将引入一些相当严格的策略,会使扩展程序在默认情况下更加安全,开发者可以创建并强制应用一些规则,管理网站允许加载的内容。
二、开启方式
一种是:通过 HTTP 头信息的Content-Security-Policy的字段。
一种是:在网页中设置<meta>标签,如:
 <meta http-equiv="Content-Security-Policy" content="script-src 'self'; object-src 'none'; style-src cdn.example.org third-party.org; child-src https:">
三、实际例子
1、阻止加载不符合CSP的外部资源。 加载资源:
<script type="text/javascript" src="https://code.jquery.com/jquery-3.2.1.min.js"></script>
不开启CSP时可以正常加载js:
网站开启CSP防御跨站脚本XSS
开启之后:
网站开启CSP防御跨站脚本XSS
这样就可以防止外部的Javascript的XSS攻击
*打赏支持:支付宝/微信,请熊猫喝瓶肥宅快乐水吧!

声明:本博客除特殊说明外,皆为原创内容,转载请注明来源!

强烈推荐:HK虚机自带CDN,宕机无缝切换   Vultr注册就有10$,可开4个月服务器

标签: 无

发表评论: