【第3335期】XSS终结者-CSP理论与实践

文章预览

前言 介绍了 CSP 的理论和实践，包括 CSP 的两种策略类型、指令集合、使用方式、实践经验以及项目实践数据，旨在减少跨站脚本攻击（XSS）和运营商劫持的内容注入攻击。今日前端早读课文章由 @joeyguo 分享。 正文从这开始～～ CSP 全称为 Content Security Policy，即内容安全策略。主要以白名单的形式配置可信任的内容来源，在网页中，能够使白名单中的内容正常执行（包含 JS，CSS，Image 等等），而非白名单的内容无法正常执行，从而减少跨站脚本攻击（XSS），当然，也能够减少运营商劫持的内容注入攻击。 示例：在 HTML 的 Head 中添加如下 Meta 标签，将在符合 CSP 标准的浏览器中使非同源的 script 不被加载执行。 < meta http-equiv = "Content-Security-Policy" content = "script-src 'self'" > 不支持 CSP 的浏览器将自动会忽略 CSP 的信息，不会有什么影响。具体兼容性可 ………………………………