【已解决】“Content-Security-Policy”头缺失

野性酷女 2024-03-16 19:02 18阅读 0赞

#### 1、作用 ####

简称CSP，意为内容安全策略，通过设置约束指定可信的内容来源，降低异源文件攻击，例如：js/css/image等

#### 2、相关设置值 ####

<table> 
 <tbody> 
 <tr> 
 <td style="vertical-align:bottom;"> 指令名 </td> 
 <td style="vertical-align:bottom;"> demo </td> 
 <td style="vertical-align:bottom;"> 说明 </td> 
 </tr> 
 <tr> 
 <td style="vertical-align:top;"> default-src </td> 
 <td style="vertical-align:top;"> 'self' cdn.example.com </td> 
 <td style="vertical-align:bottom;"> 默认策略,可以应用于js文件/图片/css/ajax请求等所有访问 </td> 
 </tr> 
 <tr> 
 <td style="vertical-align:top;"> script-src </td> 
 <td style="vertical-align:top;"> 'self' js.example.com </td> 
 <td style="vertical-align:bottom;"> 定义js文件的过滤策略 </td> 
 </tr> 
 <tr> 
 <td style="vertical-align:top;"> style-src </td> 
 <td style="vertical-align:top;"> 'self' css.example.com </td> 
 <td style="vertical-align:bottom;"> 定义css文件的过滤策略 </td> 
 </tr> 
 <tr> 
 <td style="vertical-align:top;"> img-src </td> 
 <td style="vertical-align:top;"> 'self' img.example.com </td> 
 <td style="vertical-align:bottom;"> 定义图片文件的过滤策略 </td> 
 </tr> 
 <tr> 
 <td style="vertical-align:top;"> connect-src </td> 
 <td style="vertical-align:top;"> 'self' </td> 
 <td style="vertical-align:bottom;"> 定义请求连接文件的过滤策略 </td> 
 </tr> 
 <tr> 
 <td style="vertical-align:top;"> font-src </td> 
 <td style="vertical-align:top;"> font.example.com </td> 
 <td style="vertical-align:bottom;"> 定义字体文件的过滤策略 </td> 
 </tr> 
 <tr> 
 <td style="vertical-align:top;"> object-src </td> 
 <td style="vertical-align:top;"> 'self' </td> 
 <td style="vertical-align:bottom;"> 定义页面插件的过滤策略,如 &lt;object&gt;, &lt;embed&gt; 或者&lt;applet&gt;等元素 </td> 
 </tr> 
 <tr> 
 <td style="vertical-align:top;"> media-src </td> 
 <td style="vertical-align:top;"> media.example.com </td> 
 <td style="vertical-align:bottom;"> 定义媒体的过滤策略,如 HTML6的 &lt;audio&gt;, &lt;video&gt;等元素 </td> 
 </tr> 
 <tr> 
 <td style="vertical-align:top;"> frame-src </td> 
 <td style="vertical-align:top;"> 'self' </td> 
 <td style="vertical-align:bottom;"> 定义加载子frmae的策略 </td> 
 </tr> 
 <tr> 
 <td style="vertical-align:top;"> sandbox </td> 
 <td style="vertical-align:top;"> allow-forms allow-scripts </td> 
 <td style="vertical-align:bottom;"> 沙盒模式,会阻止页面弹窗/js执行等,你可以通过添加allow-forms allow-same-origin allow-scripts allow-popups, allow-modals, allow-orientation-lock, allow-pointer-lock, allow-presentation, allow-popups-to-escape-sandbox, and allow-top-navigation 策略来放开相应的操作 </td> 
 </tr> 
 <tr> 
 <td style="vertical-align:top;"> report-uri </td> 
 <td style="vertical-align:top;"> /some-report-uri </td> 
 <td style="vertical-align:bottom;"></td> 
 </tr> 
 </tbody> 
</table>

#### 3、示例： ####

default-src 'self';只允许同源下的资源

script-src 'self';只允许同源下的js

script-src 'self' www.google-analytics.com ajax.googleapis.com;允许同源以及两个地址下的js加载

default-src 'none'; script-src 'self'; connect-src 'self'; img-src 'self'; style-src 'self';多个资源时,后面的会覆盖前面的

#### 4、在nginx配置文件中添加，例如： ####

add\_header Content-Security-Policy "default-src 'self'";只允许同源下的资源

add\_header Content-Security-Policy "upgrade-insecure-requests;content \*";将本站内部http链接自动改为https，并不限制内容加载来源。