安全防护 - CSP
- 添加 CSP 防护头
实战:report 模式至少要运行半年,才可以开启拦截模式;PS:开启后你可能会发现浏览器会劫持注入JS 、部门地区也会有 JS 注入的情况、各种诡异的自定义协议告警 … - 响应内容替换
实战:支持 @token@ 替换(对原页面中的 @token@ 字符串会由 WAF 替换一个真实的由WAF生成的 token),后端检查 token 合法性,对请求进行检查判断….
1:先看下源站,没有任何 CSP 的策略
源站:https://www.biqudu.net/
2:进行反向代理+仿站后+配置 CSP规则后
现在又大量的 csp 告警,我们进行响应内容的替换,把告警的 地址换掉,原来告警的地址都被替换完成!
若有收获,就点个赞吧
0 人点赞
