[資安] 內容安全性原則(Content-Security-Policy, CSP)

內容安全性原則( CSP )
https://developer.mozilla.org/zh-CN/docs/Web/HTTP/CSP

Content Security Policy 入門教程
http://www.ruanyifeng.com/blog/2016/09/csp.html

[security] Content-Security-Policy 增加網頁安全的 http header,防禦 XSS 跨站攻擊 script
https://blog.camel2243.com/2017/04/23/content-security-policy-%E5%A2%9E%E5%8A%A0%E7%B6%B2%E9%A0%81%E5%AE%89%E5%85%A8%E7%9A%84-http-header%EF%BC%8C%E9%98%B2%E7%A6%A6-xss-%E8%B7%A8%E7%AB%99%E6%94%BB%E6%93%8A-script/

Content-Security-Policy - HTTP Headers 的資安議題 (2)
https://devco.re/blog/2014/04/08/security-issues-of-http-headers-2-content-security-policy/

關於「我是這樣拿走大家網站上的信用卡號跟密碼的」
https://ithelp.ithome.com.tw/articles/10196606

Content-Security-Policy 為瀏覽器目前所實作的一個標準, 主要是用在防禦 XSS 攻擊的標準。使用 CSP 可以有效提升攻擊難度,讓許多常見的 XSS 攻擊失效。

CSP 的實質就是白名單制度,開發者明確告訴用戶端,哪些外部資源可以載入和執行,等同于提供白名單。它的實現和執行全部由流覽器完成,開發者只需提供配置。CSP 大大增強了網頁的安全性。攻擊者即使發現了漏洞,也沒法注入腳本,除非還控制了一台列入了白名單的可信主機。

兩種方法可以啟用 CSP。一種是通過 HTTP 頭資訊的Content-Security-Policy的欄位。另一種是通過網頁的<meta>標籤。


#Content Security Policy, CSP, 內容安全性原則

留言