【文档开放】,Web应用程序应用文档注册说明书

　　【文档开放】,Web应用程序应用文档注册说明书

　　来自 HTML5 中文兴趣小组 Wiki

　　跳转到：,

　　（暂时）链接到原文

　　此文档对所有人开放以进行编辑。如果您想参与投稿，请到以下地址注册：

　　内容

　　简介

　　这部分是非标准的。

　　本文档定义了内容安全策略的机制。 Web 应用程序可以使用它来缓解常见的内容注入漏洞，例如跨站点漏洞 (XSS)。内容安全策略是公共策略。 Web 应用程序的作者（或服务器管理）（成员）可以使用它来限制资源的加载。

　　例如，为了缓解 XSS 攻击，Web 应用程序可以限制自己仅从受信任的 URI 加载脚本，从而使攻击者难以注入恶意脚本。

　　内容安全策略 (CSP) 不是抵御内容注入漏洞的第一道防线。相反，CSP 最好用作纵深防御，以减少内容注入攻击造成的危害。

　　通常，要将 CSP 应用到现有的 Web 应用程序中，为了获得最佳效果，作者需要移动所有嵌入的脚本和样式行，例如外部脚本，因为用户代理无法确定是否存在嵌入式脚本注入攻击。

　　使用 CSP 时，Web 应用程序可以提供 Content-Security-Policy HTTP 标头或 META HTML 元素。但是，这样的策略仅适用于当前文档。你可以为整个网站提供一个策略，服务器用每个资源表示。

　　一致性术语框架策略传输方法 Content-Security-Policy Header 字段 Content-Security-Policy-Report-Only Header 字段 HTML 元元素语法策略源列表处理模型指令 default-srcscript-srcobject-srcstyle-srcimg-srcmedia- srcframe -srcfont-srcconnect-srcsandboxreport-uripolicy-uri 示例策略定义示例违规报告示例参考规范参考文档信息参考

　　取自“;oldid=1370”