网站内容策略(更多策略见CSPdirectives常见网站设置知乎Integrity资源完整性)

　　网站内容策略(更多策略见CSPdirectives常见网站设置知乎Integrity资源完整性)

　　除此之外，还可以使用元素来配置策略，例如

　　战略

　　“Content-Security-Policy”：策略字符串

　　资源限制可以像 img、字体、样式、框架等一样细化。

　　默认源

　　内容安全策略：default-src 'self'

　　网站 管理员希望站点的所有内容都来自同一来源（不包括其子域），请参阅 Content-Security-Policy/default-src

　　媒体-src、img-src、脚本-src

　　内容安全策略：default-src 'self'；img-src *; 媒体源；脚本源

　　这里，默认情况下，各种内容只允许从文档所在的源获取，以下情况除外：

　　'不安全评估'

　　允许使用 eval() 和类似函数从字符串创建代码。需要单引号。

　　有关更多政策，请参阅 CSP 指令

　　通用网站设置知乎Twitter子资源完整性

　　子资源完整性 (SRI) 是一种安全功能，允许浏览器检查他们获得的资源（例如，从 CDN 获得的资源）是否未被篡改。它通过验证获取的文件的哈希值是否与您提供的哈希值相同来确定资源是否被篡改。

　　很多时候，我们使用 CDN 在多个站点之间共享脚本和样式，以提高 网站 性能并节​​省带宽。但也存在风险，如果攻击者获得了 CDN 的控制权，他可以恶意向 CDN 文件中注入任意内容，从而攻击加载 CDN 资源的站点。因此，SRI 需要确保 Web 应用程序获取的文件没有被第三方注入或以其他方式修改，以降低被攻击的风险。

　　SRI的原则

　　将文件内容写入你引用的base64编码哈希值

　　内容安全策略和子资源完整性

　　您可以根据内容安全策略 (CSP) 配置您的服务器，以使指定类型的文件符合 SRI。这是通过将 require-sri-for 指令添加到 CSP 标头来实现的：

　　Content-Security-Policy：require-sri-for 脚本；

　　该指令指定所有 JavaScript 必须具有完整性属性并通过验证才能加载。

　　因此，只要文件发生变化，浏览器就不会执行，有效避免了脚本攻击。

　　参考链接

　　原创文章，作者：admin，如转载请注明出处：