# 概念 內容安全策略 (CSP) 是一個附加的安全層，用于幫助檢測和緩解某些類型的攻擊，包括跨站腳本 (XSS) 和數據注入等攻擊。 <br> <br> # 作用 * 限制資源獲取 * 報告資源獲取越權 <br> <br> # 限制方式 * default-src 限制全局 * 定制資源類型 <br> <br> # 使用 一個策略由一系列策略指令所組成，每個策略指令都描述了一個針對某個特定類型資源以及生效范圍的策略。 策略應當包含一個default-src策略指令，在其他資源類型沒有符合自己的策略時應用該策略。 <br> ## meta標簽 ~~~ <meta http-equiv="Content-Security-Policy" content="default-src 'self'"> ~~~ <br> ## HTTP header ~~~ res.writeHead(200, { 'Content-Type': 'text/html', 'Content-Security-Policy': 'default-src http: https:' } ~~~ <br> <br> # 資源類型 connect-src、img-src、manifest-src、style-src、media-src、script-src、frame-src 等 <br> <br> # 啟用違例報告 默認情況下，違規報告并不會發送。為啟用發送違規報告，你需要指定 report-uri 策略指令，并提供至少一個URI地址去遞交報告： ~~~html Content-Security-Policy: default-src 'self'; report-uri http://reportcollector.example.com/collector.cgi ~~~ 然后你需要設置你的服務器能夠接收報告，使其能夠以你認為恰當的方式存儲并處理這些報告。 <br> ## 違例報告的語法 作為報告的JSON對象報告包含了以下數據： * document-uri：發生違規的文檔的URI。 * referrer：違規發生處的文檔引用（地址）。 * blocked-uri：被CSP阻止的資源URI。如果被阻止的URI來自不同的源而非文檔URI，那么被阻止的資源URI會被刪減，僅保留協議，主機和端口號。 * violated-directive：違反的策略名稱。 * original-policy：在 Content-Security-Policy HTTP 頭部中指明的原始策略。 <br> <br> # 報告(report-only)模式 為降低部署成本，CSP可以部署為報告(report-only)模式。在此模式下，CSP策略不是強制性的，但是任何違規行為將會報告給一個指定的URI地址。此外，一個報告模式的頭部可以用來測試一個修訂后的未來將應用的策略而不用實際部署它。 ~~~html Content-Security-Policy-Report-Only: policy ~~~ 如果 `Content-Security-Policy-Report-Only` 頭部和 `Content-Security-Policy` 同時出現在一個響應中，兩個策略均有效。在 `Content-Security-Policy` 頭部中指定的策略有強制性 ，而 `Content-Security-Policy-Report-Only` 中的策略僅產生報告而不具有強制性。 <br> <br> # 常見策略 所有內容均來自站點的同一個源 (不包括其子域名) ~~~html Content-Security-Policy: default-src 'self' ~~~ <br> 允許網頁應用的用戶在他們自己的內容中包含來自任何源的圖片, 但是限制音頻或視頻需從信任的資源提供者(獲得)，所有腳本必須從特定主機服務器獲取可信的代碼. ~~~html Content-Security-Policy: default-src 'self'; img-src *; media-src media1.com media2.com; script-src userscripts.example.com ~~~ 在這里，各種內容默認僅允許從文檔所在的源獲取, 但存在如下例外: * 圖片可以從任何地方加載(注意 "\*" 通配符)。 * 多媒體文件僅允許從 `media1.com` 和 `media2.com` 加載(不允許從這些站點的子域名)。 * 可運行腳本僅允許來自于`userscripts.example.com`。