内容安全策略(CSP)如何配置和开启CSP的细节提示

内容安全策略(CSP)如何配置和开启CSP的细节提示

　　内容安全政策简介

　　内容安全策略 (CSP) 是额外的安全层，用于帮助检测和缓解某些类型的攻击，包括跨站点脚本 (XSS) 和数据注入等攻击。这些攻击可用于从数据窃取到网站 破坏或作为恶意软件分发版本的各种目的。

　　CSP 旨在向后兼容；不受支持的浏览器仍然可以运行使用它的服务器页面，反之亦然。不支持 CSP 的浏览器将忽略它，照常运行，并默认使用标准的 Web 内容同源策略。如果网站 不提供 CSP 标头，浏览器也将使用标准的同源策略。

　　启用 CSP 就像配置页面服务以返回 Content-Security-Policy HTTP 标头一样简单。 （Firefox 23 之前的版本使用 X-Content-Security-Policy）。请参阅如何获取配置和打开 CSP 的使用内容安全策略详细信息

　　提醒：内容安全策略是一种可以通过元素进行配置的协议，但Firefox 仍然不支持这种方式。在错误 663570.

　　中添加了对这种方法的支持

　　CSP 的主要目标是减少和报告 XSS 攻击。 XSS 攻击利用浏览器对从服务器接收的内容的信任。恶意脚本在受害浏览器上执行，因为浏览器信任内容的来源，即使内容的来源并非来自应有的来源。

　　CSP 使服务器管理员能够通过指定浏览器可以执行的受信任脚本的域名来减少或消除可能由于 XSS 出现的向量。兼容 CSP 的浏览器只会执行加载带有白名单域名的源文件的脚本，而忽略其他脚本（包括内联脚本和事件操作 HTML 属性）

　　作为最后的保护，想要禁止脚本的网站可以选择全局禁止脚本执行

　　为了重新约束下载内容的域名，服务器可以指定可以使用哪种协议；例如（理论上，从安全角度来看），某项服务指定所有内容都通过 HTTPS 协议加载

　　提醒：一个完整​​的数据传输安全策略，不仅包括加强数据通过HTTPS的传输，还包括让所有cookie都进行安全标记，并提供从HTTP页面到相应HTTPS页面的自动重定向。

　　提示：该站点还可能使用 Strict-Transport-Security HTTP 标头来确保浏览器仅通过加密通道连接到它们