content-security-policy

Content Security Policy 入门教程

Content Security Policy 入门教程

跨域脚本攻击 XSS 是最常见、危害最大的网页安全漏洞。 为了防止它们,要采取很多编程措施,非常麻烦。很多人提出,能不能根本上解决问题,浏览器自动禁止外部注入恶意脚本? 这就是”网页安全政策”(Content Security Policy,缩写 CSP)的来历。本文详细介绍如何使用 CSP 防止 XSS 攻击。 一、简介 CSP 的实质就是白名单制度,开发者明确告诉客户端... »

HTML5安全介绍之内容安全策略(CSP)简介

万维网的安全策略植根于同源策略。这就是XSS跨站脚本攻击,通过虚假内容和诱骗点击来绕过同源策略。现在我们介绍一个全新的、有效的安全防御策略来减轻这种风险,这就是内容安全策略。有害的内联代码 CSP基于来源白名单,但是它不能解决XSS攻击的最大来源:内联脚本注入。CSP只能通过完全禁止内联脚本来解决这个问题。 »