网站内容策略(和HTML中的onclick等元素事件)

优采云 发布时间: 2021-11-20 13:18

  网站内容策略(和HTML中的onclick等元素事件)

  '不安全内联'

  允许内联 CSS、脚本、javascript:URI 和 HTML onclick 和其他元素事件处理程序

  '不安全评估'

  使用 JavaScript 的 eval() 函数允许不安全的动态代码

  'nonce-id'

  如果id与当前属性值匹配,则允许内联CSS或脚本运行,如script-src'nonce-abc123'运行块内内联代码

  'sha256-哈希'

  如果文件内容与生成的 SHA-256 哈希值匹配,则允许使用样式或脚本

  从 default-src'none' 的严格默认策略开始是实用的;然后根据需要添加更多权限。对于大多数网站来说,一个好的起点可能是:

  从严格的默认策略default-src'none'开始;启动default-src'none'是可行的;然后根据需要添加其他权限。对于大多数 网站 来说,一个好的起点可能是:

  default-src 'none'; style-src 'self' data:; img-src 'self' data:; script-src 'self'; connect-src 'self';

  这允许来自同一来源的样式、图像、脚本和 Ajax 请求。

  这允许来自同一来源的样式、图像、脚本和 Ajax 请求。

  在网络浏览器中打开您的页面,然后启动开发者工具控制台。将报告被阻止的资源警告,例如

  在网络浏览器中打开页面并启动开发者工具控制台。会报阻塞资源警告,例如

  Refused to load the script 'XXX' because it violates the following Content Security Policy directive: "YYY".

  您可能需要浏览各种页面,以确保您已考虑到网站所需的所有字体、图像、视频、脚本、插件和 iframe。

  您可能需要浏览各个页面以确保您已经考虑了您需要的所有字体、图像、视频、脚本、插件和 iframe 网站。

  Google 提供范围广泛的服务,您可能正在使用分析、字体、地图等。不幸的是,这些是在一系列 URI 上启用的,这些 URI 需要进一步的 Ajax 调用、内联执行和数据方案。您最终可能会得到一个复杂的政策,例如:

  Google 提供了广泛的服务,您可能正在使用分析、字体、地图等。不幸的是,它们在一系列需要进一步 Ajax 调用、内联执行和数据方案的 URI 上启用。您可能会得到一个复杂的策略,例如:

  default-src 'self';

style-src 'self' 'unsafe-inline' *.googleapis.com;

script-src 'self' *.google-analytics.com *.googleapis.com data:;

connect-src 'self' *.google-analytics.com *.googleapis.com *.gstatic.com data:;

font-src 'self' *.gstatic.com data:;

img-src * data:;

  (为了清晰起见添加了换行符,但不得在实际代码中使用。)

  (为了清楚起见添加了换行符,但不得在实际代码中使用它们。)

  在撰写本文时,这是无法避免的,其他第三方供应商也将面临类似的挑战。

  在撰写本文时,这是不可避免的,其他第三方供应商也将面临类似的挑战。

  最后,再次测试您的网页,幸运的是,您的内容安全策略等级已显着提高。该工具还将针对旧版浏览器、HTTPS、CORS、MIME、cookie、引荐来源网址和重定向政策标头提供建议。

  最后,再次在网络上重新测试您的网页。幸运的是,您的内容安全策略级别已显着提高。该工具还会建议有关旧版浏览器、HTTPS、CORS、MIME、cookie、引荐来源网址和重定向政策的标头。

  实施内容安全政策是预防意外安全问题的重要步骤。另一个重要的步骤是选择一个重视安全的托管服务提供商。我们的合作伙伴 SiteGround 是寻求为高级网站安全而构建的网络托管平台的任何人的绝佳选择。

  实施内容安全策略是防止意外安全问题的重要步骤。另一个重要的步骤是选择考虑安全性的托管服务提供商。我们的合作伙伴 SiteGround 是任何寻找可以增强 网站 安全性的网络托管平台的人的不错选择。

  翻译自:

  内容安全政策

  内容安全策略_如何开始使用你的网站内容安全策略相关教程WordPress安全_使用内置的WordPress功能与Azat Mardan一起编写安全主题,实现kafka生产者和消费者的在线安全和高效分区分发策略”深入理解Java虚拟机》阅读笔记-垃圾采集器和内存分配策略10个简单的WordPress安全提示vue更新路由路由器-视图复用组件内容不刷新wordpress custom_custom WordPress嵌入内容“结构化”思维导图阅读笔记理论与实践相结合的精选内容

0 个评论

要回复文章请先登录注册


官方客服QQ群

微信人工客服

QQ人工客服


线