一、简介
- HTTP 头添加 Content-Security-Policy 字段
- 通过 meta 标签设置
二、限制选择
三、限制选择的值
四、注意点
五、Content-Security-Policy-Report-Only
参考资料

为了防止它们，要采取很多编程措施，非常麻烦。很多人提出，能不能根本上解决问题，浏览器自动禁止外部注入恶意脚本？
这就是“网页安全政策”（Content Security Policy，缩写 CSP）的来历。

本文详细介绍如何使用 CSP 防止 XSS 攻击

一、简介

CSP 的实质就是白名单制度，开发者明确告诉客户端，哪些外部资源可以加载和执行，等同于提供白名单。它的实现和执行全部由浏览器完成，开发者只需提供配置。
CSP 大大增强了网页的安全性。攻击者即使发现了漏洞，也没法注入脚本，除非还控制了一台列入了白名单的可信主机。

两种方法可以启用 CSP

一种是通过 HTTP 头信息的Content-Security-Policy的字段
一种是通过网页的<meta>标签

HTTP 头添加 Content-Security-Policy 字段

CSP（网页安全政策） - 图1

Content-Security-Policy: script-src 'self'; object-src 'none';
style-src cdn.example.org third-party.org; child-src https:

通过 meta 标签设置

<meta http-equiv="Content-Security-Policy" content="script-src 'self'; object-src 'none'; style-src cdn.example.org third-party.org; child-src https:">

上面的代码，CSP 做了如下配置

脚本：只信任当前域名
标签：不信任任何URL，即不加载任何资源
样式表：只信任cdn.example.org和third-party.org
框架（frame）：必须使用 HTTPS 协议加载
其他资源：没有限制

启用后，不符合 CSP 的外部资源就会被阻止加载。

二、限制选择
CSP 提供了很多限制选项，涉及安全的各个方面。

1. 资源加载限制
以下选项限制各类资源的加载。
- **script-src**：外部脚本
- **style-src**：样式表
- **img-src**：图像
- **media-src**：媒体文件（音频和视频）
- **font-src**：字体文件
- **object-src**：插件（比如 Flash）
- **child-src**：框架
- **frame-ancestors**：嵌入的外部资源（比如、、<embed>和<applet>）</li><li><code>**connect-src**</code>：HTTP 连接（通过 XHR、WebSockets、EventSource等）</li><li><code>**worker-src**</code>：worker 脚本</li><li><p><code>**manifest-src**</code>：manifest 文件 <a name="mgxUx"></a></p> <h2 id="8vazl"><a name="8vazl" class="reference-link"></a><span class="header-link octicon octicon-link"></span>2. URL 限制</h2><p>有时，网页会跟其他 URL 发生联系，这时也可以加以限制。</p> </li><li><p><code>**frame-ancestors**</code>：限制嵌入框架的网页</p> </li><li><code>**base-uri**</code>：限制<code><base#href></code></li><li><p><code>**form-action**</code>：限制<code><form#action></code> <a name="DKhAO"></a></p> <h2 id="8vakqr"><a name="8vakqr" class="reference-link"></a><span class="header-link octicon octicon-link"></span>3. default-src</h2><p><code>default-src</code> 用来设置上面各个选项的默认值。</p> <pre><code>Content-Security-Policy: default-src 'self' </code></pre><p>上面代码限制<strong>所有的</strong>外部资源，都只能从当前域名加载。<br />如果同时设置某个单项限制（比如<code>font-src</code>）和<code>default-src</code>，前者会覆盖后者，即字体文件会采用<code>font-src</code>的值，其他资源依然采用<code>default-src</code>的值 <a name="okYE5"></a></p> <h2 id="a6ruye"><a name="a6ruye" class="reference-link"></a><span class="header-link octicon octicon-link"></span>4. report-uri</h2><p>有时，我们不仅希望防止 XSS，还希望记录此类行为。<code>report-uri</code>就用来告诉浏览器，应该把注入行为报告给哪个网址。</p> <pre><code>Content-Security-Policy: default-src 'self'; report-uri /my_amazing_csp_report_parser; </code></pre><p>上面代码指定，将注入行为报告给<code>/my_amazing_csp_report_parser</code>这个 URL。<br />浏览器会使用<code>POST</code>方法，发送一个 JSON 对象，下面是一个例子。</p> <pre><code class="lang-json">{ "csp-report": { "document-uri": "http://example.org/page.html", "referrer": "http://evil.example.com/", "blocked-uri": "http://evil.example.com/evil.js", "violated-directive": "script-src 'self' https://apis.google.com", "original-policy": "script-src 'self' https://apis.google.com; report-uri http://example.org/my_amazing_csp_report_parser" } } </code></pre> <p><a name="fomZi"></a></p> <h2 id="dib8i6"><a name="dib8i6" class="reference-link"></a><span class="header-link octicon octicon-link"></span>5. 其他限制</h2><p>其他一些安全相关的功能，也放在了 CSP 里面。</p> </li><li><p><strong>block-all-mixed-content</strong>：HTTPS 网页不得加载 HTTP 资源（浏览器已经默认开启）</p> </li><li><strong>upgrade-insecure-requests</strong>：自动将网页上所有加载外部资源的 HTTP 链接换成 HTTPS 协议</li><li><strong>plugin-types</strong>：限制可以使用的插件格式</li><li><strong>sandbox</strong>：浏览器行为的限制，比如不能有弹出窗口等。</li></ul> <p><a name="X1NDZ"></a></p> <h1 id="2gm54k"><a name="2gm54k" class="reference-link"></a><span class="header-link octicon octicon-link"></span>三、限制选择的值</h1><p>每个限制选项可以设置以下几种值，这些值就构成了白名单。</p> <ul> <li>主机名：<code>example.org，https://example.com:443</code></li><li>路径名：<code>example.org/resources/js/</code></li><li>通配符：<code>*.example.org</code>，<code>*://*.example.com:*</code>（表示任意协议、任意子域名、任意端口）</li><li>协议名：<code>https:、data:</code></li><li>关键字<code>self</code>：当前域名，需要加引号</li><li>关键字<code>none</code>：禁止加载任何外部资源，需要加引号</li></ul> <p>多个值也可以并列，用空格分隔。</p> <pre><code>Content-Security-Policy: script-src 'self' https://apis.google.com </code></pre><p><a name="rArYg"></a></p> <h1 id="cyxtgz"><a name="cyxtgz" class="reference-link"></a><span class="header-link octicon octicon-link"></span>四、注意点</h1><ol> <li><code>script-src</code>和<code>object-src</code>是必设的，除非设置了<code>default-src</code>。</li></ol> <p>因为攻击者只要能注入脚本，其他限制都可以规避。而<code>object-src</code>必设是因为 Flash 里面可以执行外部脚本</p> <ol> <li><p><code>script-src</code>不能使用<code>unsafe-inline</code>关键字（除非伴随一个<code>nonce</code>值），也不能允许设置<code>data:URL</code></p> <pre><code class="lang-html"><img src="x" onerror="evil()"> <script src="data:text/javascript,evil()"></script> </code></pre> </li><li><p>必须特别注意 JSONP 的回调函数。</p> <pre><code class="lang-html"><script src="/path/jsonp?callback=alert(document.domain)//"> </script> </code></pre> <p>上面的代码中，虽然加载的脚本来自当前域名，但是通过改写回调函数，攻击者依然可以执行恶意代码。</p> </li></ol> <p><a name="tEAvf"></a></p> <h1 id="20tw6i"><a name="20tw6i" class="reference-link"></a><span class="header-link octicon octicon-link"></span>五、Content-Security-Policy-Report-Only</h1><p>除了<code>Content-Security-Policy</code>，还有一个<code>Content-Security-Policy-Report-Only</code>字段，表示不执行限制选项，只是记录违反限制的行为。</p> <p>它必须与<code>report-uri</code>选项配合使用。</p> <pre><code>Content-Security-Policy-Report-Only: default-src 'self'; ...; report-uri /my_amazing_csp_report_parser; </code></pre><p><a name="aHidi"></a></p> <h1 id="9lrx7x"><a name="9lrx7x" class="reference-link"></a><span class="header-link octicon octicon-link"></span>参考资料</h1><p><a rel="nofollow" href="http://www.ruanyifeng.com/blog/2016/09/csp.html">《Content Security Policy 入门教程》</a></p>

CSP（网页安全政策）

一、简介

HTTP 头添加 Content-Security-Policy 字段

通过 meta 标签设置

二、限制选择

1. 资源加载限制