利用CSP防御存储型XSS

文章预览

基本概念 CSP是由谷歌提出的一项安全协议，其主要通过在服务器响应头部添加‘Content-Security-Policy: ; ’，从而控制页面所允许加载的内容。 实践 你可以在HTML的meta标签中设置CSP进行初步的测试。但需要注意的是，通过meta标签设置的CSP规则不能完全应用于meta标签本身和其所在的页面。相比之下，通过HTTP响应头来设置CSP则能够更全面、更彻底的应用安全策略。 正篇开始 前端使用的React框架，当开发完成后会将写好的react代码编译成js并上传到公司的静态资源服务器中，当我们打开页面时，页面中会用script加载静态资源服务器中的js文件 当此时CSP的东西从我脑子里闪过了一下，我就在想，如果我配置了CSP只允许加载我这里的static.tuyacn.com这个域名的脚本（包括不允许加载self域名脚本），是否可以。 在云服务器上起一个python的http.server，之后在里面放入 ………………………………