网站内容策略(和HTML中的onclick等元素事件)
优采云 发布时间: 2021-11-20 13:18网站内容策略(和HTML中的onclick等元素事件)
'不安全内联'
允许内联 CSS、脚本、javascript:URI 和 HTML onclick 和其他元素事件处理程序
'不安全评估'
使用 JavaScript 的 eval() 函数允许不安全的动态代码
'nonce-id'
如果id与当前属性值匹配,则允许内联CSS或脚本运行,如script-src'nonce-abc123'运行块内内联代码
'sha256-哈希'
如果文件内容与生成的 SHA-256 哈希值匹配,则允许使用样式或脚本
从 default-src'none' 的严格默认策略开始是实用的;然后根据需要添加更多权限。对于大多数网站来说,一个好的起点可能是:
从严格的默认策略default-src'none'开始;启动default-src'none'是可行的;然后根据需要添加其他权限。对于大多数 网站 来说,一个好的起点可能是:
default-src 'none'; style-src 'self' data:; img-src 'self' data:; script-src 'self'; connect-src 'self';
这允许来自同一来源的样式、图像、脚本和 Ajax 请求。
这允许来自同一来源的样式、图像、脚本和 Ajax 请求。
在网络浏览器中打开您的页面,然后启动开发者工具控制台。将报告被阻止的资源警告,例如
在网络浏览器中打开页面并启动开发者工具控制台。会报阻塞资源警告,例如
Refused to load the script 'XXX' because it violates the following Content Security Policy directive: "YYY".
您可能需要浏览各种页面,以确保您已考虑到网站所需的所有字体、图像、视频、脚本、插件和 iframe。
您可能需要浏览各个页面以确保您已经考虑了您需要的所有字体、图像、视频、脚本、插件和 iframe 网站。
Google 提供范围广泛的服务,您可能正在使用分析、字体、地图等。不幸的是,这些是在一系列 URI 上启用的,这些 URI 需要进一步的 Ajax 调用、内联执行和数据方案。您最终可能会得到一个复杂的政策,例如:
Google 提供了广泛的服务,您可能正在使用分析、字体、地图等。不幸的是,它们在一系列需要进一步 Ajax 调用、内联执行和数据方案的 URI 上启用。您可能会得到一个复杂的策略,例如:
default-src 'self';
style-src 'self' 'unsafe-inline' *.googleapis.com;
script-src 'self' *.google-analytics.com *.googleapis.com data:;
connect-src 'self' *.google-analytics.com *.googleapis.com *.gstatic.com data:;
font-src 'self' *.gstatic.com data:;
img-src * data:;
(为了清晰起见添加了换行符,但不得在实际代码中使用。)
(为了清楚起见添加了换行符,但不得在实际代码中使用它们。)
在撰写本文时,这是无法避免的,其他第三方供应商也将面临类似的挑战。
在撰写本文时,这是不可避免的,其他第三方供应商也将面临类似的挑战。
最后,再次测试您的网页,幸运的是,您的内容安全策略等级已显着提高。该工具还将针对旧版浏览器、HTTPS、CORS、MIME、cookie、引荐来源网址和重定向政策标头提供建议。
最后,再次在网络上重新测试您的网页。幸运的是,您的内容安全策略级别已显着提高。该工具还会建议有关旧版浏览器、HTTPS、CORS、MIME、cookie、引荐来源网址和重定向政策的标头。
实施内容安全政策是预防意外安全问题的重要步骤。另一个重要的步骤是选择一个重视安全的托管服务提供商。我们的合作伙伴 SiteGround 是寻求为高级网站安全而构建的网络托管平台的任何人的绝佳选择。
实施内容安全策略是防止意外安全问题的重要步骤。另一个重要的步骤是选择考虑安全性的托管服务提供商。我们的合作伙伴 SiteGround 是任何寻找可以增强 网站 安全性的网络托管平台的人的不错选择。
翻译自:
内容安全政策
内容安全策略_如何开始使用你的网站内容安全策略相关教程WordPress安全_使用内置的WordPress功能与Azat Mardan一起编写安全主题,实现kafka生产者和消费者的在线安全和高效分区分发策略”深入理解Java虚拟机》阅读笔记-垃圾采集器和内存分配策略10个简单的WordPress安全提示vue更新路由路由器-视图复用组件内容不刷新wordpress custom_custom WordPress嵌入内容“结构化”思维导图阅读笔记理论与实践相结合的精选内容