起源
- Web的安全模型根植于同一源策略。
- 跨站点脚本(XSS)攻击可绕过同源策略。
- 内容安全策略(Content-Security-Policy)是一个新的防御策略,可以显着降低XSS攻击。
- 浏览器无法分辨恶意脚本源。
- CSP定义HTTP头,创建信赖的脚本源白名单,浏览器只能从这些来源执行或渲染资源。
- XSS内联脚本注入攻击可以绕过源白名单限制,所以应完全禁止内联脚本。
- 如果必须用内联脚本,CSP Level 2可通过内联脚本标记进入白名单。
本文标题:内容安全策略简介
本文链接:https://www.haomeiwen.com/subject/kkhygttx.html
网友评论