网站内容策略(内容安全策略(CSP,ContentSecurityPolicy)如何应用?(图) )

　　网站内容策略(内容安全策略(CSP,ContentSecurityPolicy)如何应用?(图)

)

　　内容安全策略 (CSP) 是额外的安全层，用于帮助检测和缓解某些类型的攻击，包括跨站点脚本 (XSS) 和数据注入等攻击。

　　这些攻击可用于从数据盗窃到 网站 破坏或作为恶意软件分发的任何事情。内容安全策略已收录在现代浏览器中，使用 W3C CSP 1.0 标准中描述的 Content-Security-Policy 标头和指令。

　　那么它是如何应用的呢？

　　CSP 可以通过两种方式指定：HTTP Header 和 HTML。 HTTP 是通过在 HTTP 中添加 Header 来指定的，而 HTML 级别是通过 Meta 标签来指定的。

　　有两种类型的 CSP：Content-Security-Policy 和 Content-Security-Policy-Report-Only。 （不区分大小写）

　　HTTP header :

"Content-Security-Policy:" 策略

"Content-Security-Policy-Report-Only:" 策略

　　HTTP Content-Security-Policy 标头可以指定一个或多个资源是安全的，而 Content-Security-Policy-Report-Only 允许服务器检查（而不是强制执行）策略。多个标头的策略定义优先于第一个定义的。

　　HTML Meta :