内容安全策略(CSP)全面指南<\/h1>

CSP概述<\/h2>
内容安全策略(Content-Security-Policy, CSP)是一种重要的Web安全机制，通过服务器端注入CSP头，浏览器能够帮助用户降低XSS、点击劫持和跨站数据泄露等安全风险。<\/p>

CSP本质<\/h3>

白名单制度<\/strong>：明确告诉客户端哪些外部资源可以加载和执行<\/li>
浏览器执行<\/strong>：实现和执行全部由浏览器完成，开发者只需提供配置<\/li>
纵深防御<\/strong>：即使攻击者发现漏洞，也难以成功注入恶意脚本<\/li>

报告机制<\/strong>：通过态势感知和CSP报告机制可及时发现攻击行为<\/li> <\/ul>
主要配置指令<\/h2>

指令<\/th> 功能描述<\/th> <\/tr> <\/thead>

default-src<\/code><\/td> 定义大多数资源的默认源<\/td> <\/tr>
script-src<\/code><\/td> 指定允许加载和执行的脚本源<\/td> <\/tr>
style-src<\/code><\/td> 指定允许加载和应用的样式表源<\/td> <\/tr>
img-src<\/code><\/td> 指定允许加载的图像源<\/td> <\/tr>
font-src<\/code><\/td> 指定允许加载的字体源<\/td> <\/tr>
media-src<\/code><\/td> 指定允许加载的媒体资源(视频\/音频)源<\/td> <\/tr>
object-src<\/code><\/td> 指定允许加载的插件(如Flash)源<\/td> <\/tr>
frame-src<\/code><\/td> 指定允许在iframe中加载的资源源<\/td> <\/tr>
child-src<\/code><\/td> 指定允许作为子资源加载的源<\/td> <\/tr>
connect-src<\/code><\/td> 指定允许进行网络连接(AJAX请求)的源<\/td> <\/tr>
form-action<\/code><\/td> 指定表单提交的允许目标源<\/td> <\/tr>
frame-ancestors<\/code><\/td> 指定允许嵌入当前页面的祖先页面源<\/td> <\/tr>
manifest-src<\/code><\/td> 指定允许加载的Web应用程序清单源<\/td> <\/tr>
worker-src<\/code><\/td> 指定允许加载的Web Workers源<\/td> <\/tr>
base-uri<\/code><\/td> 指定页面中<base><\/code>标签的允许源<\/td> <\/tr>
plugin-types<\/code><\/td> 指定允许加载的插件类型<\/td> <\/tr>
sandbox<\/code><\/td> 为页面提供安全沙箱环境，限制脚本、表单提交等行为<\/td> <\/tr>
navigate-to<\/code><\/td> 指定允许页面导航到的源<\/td> <\/tr>
prefetch-src<\/code><\/td> 指定允许预加载的资源源<\/td> <\/tr>
report-uri<\/code><\/td> 指定CSP违规报告发送到的URI<\/td> <\/tr>
report-to<\/code><\/td> 指定CSP违规报告发送到的报告端点名称<\/td> <\/tr>
upgrade-insecure-requests<\/code><\/td> 指示浏览器将所有HTTP请求升级为HTTPS<\/td> <\/tr>
block-all-mixed-content<\/code><\/td> 阻止所有混合内容(HTTPS页面上加载HTTP资源)<\/td> <\/tr>
referrer<\/code><\/td> 控制发送到请求中的Referer头部<\/td> <\/tr>
policy-uri<\/code><\/td> 提供指向当前策略的URI，供浏览器在需要时获取<\/td> <\/tr> <\/tbody> <\/table>
CSP实施方式<\/h2>
1. HTTP Header方式（首选）<\/h3>
Content-Security-Policy: 策略 <\/span><\/span><\/span>Content-Security-Policy-Report-Only: 策略 <\/span><\/span><\/span><\/code><\/pre>2. HTML Meta标签方式<\/h3> <meta<\/span> http-equiv<\/span>=<\/span>"content-security-policy"<\/span> content<\/span>=<\/span>"策略"<\/span>> <\/span><\/span><meta<\/span> http-equiv<\/span>=<\/span>"content-security-policy-report-only"<\/span> content<\/span>=<\/span>"策略"<\/span>> <\/span><\/span><\/code><\/pre>注意<\/strong>：<\/p> 如果HTTP头与Meta定义同时存在，优先采用HTTP中的定义<\/li> 如果浏览器已为当前文档执行了CSP策略，会跳过Meta定义<\/li> 如果meta标签缺少content属性，同样会跳过<\/li> <\/ul> CSP策略语法<\/h2> 多个指令之间用英文分号(;<\/code>)分割<\/li> 多个指令值用英文空格分割<\/li> 避免重复定义同一指令（后定义的会被忽略）<\/li> <\/ul> 正确与错误示例<\/h3> 错误写法<\/strong>（第二个指令会被忽略）：<\/p> Content-Security-Policy: script-src https:\/\/host1.com; script-src https:\/\/host2.com <\/code><\/pre> 正确写法<\/strong>：<\/p> Content-Security-Policy: script-src https:\/\/host1.com https:\/\/host2.com <\/code><\/pre> CSP策略示例<\/h2> 限制所有外部资源只能从当前域名加载：<\/li> <\/ol> Content-Security-Policy: default-src 'self' <\/code><\/pre> 复杂策略示例：<\/li> <\/ol> Content-Security-Policy: default-src https:\/\/host1.com https:\/\/host2.com; frame-src 'none'; object-src 'none' <\/code><\/pre> 带报告功能的策略：<\/li> <\/ol> Content-Security-Policy: default-src 'self'; report-uri \/my_amazing_csp_report_parser; <\/code><\/pre> CSP指令值说明<\/h2> 指令值<\/th> 说明<\/th> <\/tr> <\/thead> 'self'<\/code><\/td> 表示同源，只允许从当前域名加载资源<\/td> <\/tr> https:\/\/example.com<\/code><\/td> 明确指定允许加载资源的域名<\/td> <\/tr> 'none'<\/code><\/td> 禁止加载任何资源<\/td> <\/tr> 'unsafe-inline'<\/code><\/td> 允许内联脚本\/样式（降低安全性）<\/td> <\/tr> 'unsafe-eval'<\/code><\/td> 允许eval等动态代码执行（降低安全性）<\/td> <\/tr> 'strict-dynamic'<\/code><\/td> 信任由已执行脚本动态创建的脚本<\/td> <\/tr> <\/tbody> <\/table> CSP自查表<\/h2> 指令<\/th> 示例<\/th> 说明<\/th> <\/tr> <\/thead> default-src<\/code><\/td> default-src 'self';<\/code><\/td> 定义大多数资源的默认允许源<\/td> <\/tr> script-src<\/code><\/td> script-src 'self' https:\/\/cdn.com;<\/code><\/td> 指定允许加载和执行脚本的源<\/td> <\/tr> style-src<\/code><\/td> style-src 'self' 'unsafe-inline';<\/code><\/td> 指定允许加载的样式表源<\/td> <\/tr> <\/tbody> <\/table> 最佳实践<\/h2> 从严格策略开始<\/strong>：初始配置尽可能严格，逐步放宽<\/li> 使用报告模式<\/strong>：先使用Content-Security-Policy-Report-Only<\/code>测试策略<\/li> 避免内联脚本<\/strong>：尽量不使用'unsafe-inline'<\/code><\/li> 限制外部资源<\/strong>：明确指定可信的外部域名<\/li> 定期审查<\/strong>：根据CSP报告定期审查和更新策略<\/li> HTTPS优先<\/strong>：配合upgrade-insecure-requests<\/code>和block-all-mixed-content<\/code>使用<\/li> <\/ol> 注意事项<\/h2> CSP不是万能的，不能替代其他安全措施<\/li> 如果攻击者控制了白名单内的可信主机，CSP可能失效<\/li> 复杂的网站可能需要逐步实施CSP<\/li> 某些旧版浏览器可能不完全支持所有CSP特性<\/li> <\/ul>

内容安全策略(CSP)全面指南<\/h1>

CSP概述<\/h2> 内容安全策略(Content-Security-Policy, CSP)是一种重要的Web安全机制，通过服务器端注入CSP头，浏览器能够帮助用户降低XSS、点击劫持和跨站数据泄露等安全风险。<\/p>

CSP实施方式<\/h2>

注意事项<\/h2> CSP不是万能的，不能替代其他安全措施<\/li> 如果攻击者控制了白名单内的可信主机，CSP可能失效<\/li> 复杂的网站可能需要逐步实施CSP<\/li> 某些旧版浏览器可能不完全支持所有CSP特性<\/li> <\/ul>

CSP概述<\/h2>
内容安全策略(Content-Security-Policy, CSP)是一种重要的Web安全机制，通过服务器端注入CSP头，浏览器能够帮助用户降低XSS、点击劫持和跨站数据泄露等安全风险。<\/p>

注意事项<\/h2>

CSP不是万能的，不能替代其他安全措施<\/li>
如果攻击者控制了白名单内的可信主机，CSP可能失效<\/li>
复杂的网站可能需要逐步实施CSP<\/li>
某些旧版浏览器可能不完全支持所有CSP特性<\/li> <\/ul>