挺久之前过了一遍CSP的安全策略,很多人把它喻为XSS攻击的终结者,因为这种策略不再像传统只靠各种正则和特征匹配来识别跨站攻击Payload,而是直接从协议层把一些存在安全隐患的用法默认给干掉了,把同源同域更发挥到了极致。之前把一些内容整理到了txt里,发在这里备忘一下吧:)

1)CSP策略在默认的情况下是不允许使用data URIs资源的,如果要使用,那么需要显示的指定,比如:img-src 'self' data:

2)通过CRLF相应头分裂注入来BypassCSP需要将新的相应头插入到原来的CSP下面,在处理相同名字的Http头时候,少数浏览器是根据第一次出现的来设置,大部分则是根据最后一次出现的同名Http头来设置。两次

3)script-src:在处理脚本资源的时候设置"unsafe-inline"可以阻止内联Js代码的执行。使用unsafe-eval开关可以禁止eval,setTimeout,setInterval函数的执行。

4)object-src:控制embed,code,archive applet等对象。

5)style-src:会控制样式表@import和rel时所引入的URI资源,设置unsafe-inline规则可以是浏览器拒绝解析内部样式和内联样式定义。并不会阻止链入外部样式表。

6)img-src:可以控制图片资源的连接,包括img标签的src属性,以及CSS3中的url()和image()方法,以及link标签中的href属性(当rel设置成与图像相关的值,比如HTML支持的icon)

7)media-src:控制媒体类型的外部链入资源,如video, audio, source, 和track标签的src属性。

8)frame-src:控制内嵌框架包含的外部页面连接:iframe or a frame。

9)font-src:控制CSS中的@font-face

10)connect-src:控制XMLHttpRequest中的open(),WebSocket,EventSource

11)inline script和eval类型函数(包括eval、setInterval、setTimeout和new Function())是不被执行的。另外data URIs也是默认不允许使用的,XBL,只允许通过chrome:和resource:形式uri请求的XBL,其它的比如在CSS中通过-moz-binding来指定的XBL则不允许被执行。

本文转hackfreer51CTO博客,原文链接:http://blog.51cto.com/pnig0s1992/1057002,如需转载请自行联系原作者

CSP浏览器安全策略备忘相关推荐

  1. 浏览器安全策略说之内容安全策略CSP

    天融信阿尔法实验室 · 2014/04/17 14:50 目录 0x00 前言 0x01 CSP概念 0x02 CSP发展时间轴 0x03 CSP语法 0x04 CSP默认特性 0x05 CSP例子 ...

  2. Android Activity的launchMode四种启动模式备忘

    Android Activity的launchMode四种启动模式备忘 Android的Activity的启动模式有四种,在AndroidManifest.xml通过配置Activity的androi ...

  3. jQuery学习笔记--JqGrid相关操作 方法列表 备忘 重点讲解(超重要)

    JqGrid相关操作备忘 方法列表 特别推荐:怎样获取某一方某一列的值: [html] view plaincopy var rowdata=jQuery("#list").jqG ...

  4. c# ui 滚动 分页_UI备忘单:分页,无限滚动和“加载更多”按钮

    c# ui 滚动 分页 重点 (Top highlight) When you have a lot of content, you have to rely on one of these thre ...

  5. hp-ux 单用户 启动_UX备忘单:搜索与浏览

    hp-ux 单用户 启动 重点 (Top highlight) When designing search results and interest sites, you have to keep i ...

  6. linux常用基本指令汇总备忘

    linux常用基本指令汇总备忘 vi编辑界面中可以使用三种不同的工作模式. 分别是命令模式(Command mode):控制光标移动,字符,字或者行的删除,进入其他两个模式 输入模式(Insert m ...

  7. vf更改当前路径_这份 window.location 备忘单,让你更有条理解决地址路径问题!...

    如果你想获取站点的URL信息,那么window.location对象什么很适合你!使用其属性获取有关当前页面地址的信息,或使用其方法进行某些页面重定向或刷新? https://segmentfault ...

  8. 强大的日志分析工具AWStats经典备忘

    awstats经典备忘 [保留] 日志分析软件awstats的安装使用简易指南 http://www.chinaunix.net 作者:missing-cn   发表于:2006-09-30 08:1 ...

  9. element ui字段_ui备忘单下拉字段

    element ui字段 重点 (Top highlight) Dropdowns get a lot of flak from the UI world – and if we are honest ...

最新文章

  1. android native java_在Android Native层中创建Java虚拟机实例
  2. 数字孪生:连结现实与数字世界
  3. springboot整合ElasticSearch出现的问题
  4. 从gitee 下载代码到本地
  5. 【小白学PyTorch】扩展之Tensorflow2.0 | 21 Keras的API详解(下)池化、Normalization
  6. 中国大学MOOC 计算机组成原理第4章 测试(下)
  7. ★★★常用的【兼容IE和火狐FF】等浏览器的js方法★★★★★★★★
  8. Java Servlet 和JSP教程(2)
  9. 5. 学习集合与常用类
  10. sql server 无法为该请求检索数据
  11. 百度富文本编辑器配置使用
  12. 明尼苏达大学博导“约法十章”火了:没事不乱开会、合写论文不要催导师,复旦教授直呼值得学习...
  13. PC浏览器播放m3u8
  14. 前端页面崩溃现象处理
  15. 直播问答的后博弈时代:社交化或许才是未来
  16. 艾肯声卡安装调试方法【必看】
  17. c:\windows\ ntdetect failed
  18. 简记_插件电阻功率选型及使用注意事项
  19. ps计算机海报设计,ps海报设计心得.docx
  20. kass中lisp文件_Lisp之文件操作

热门文章

  1. 深度报告:芯片设计EDA 2.0时代,三大路径搞定六大挑战
  2. 3D芯片大脑:在芯片上培养脑细胞,还能用来测试新药
  3. 美陆军将在2020年军演中测试人工智能新应用
  4. 智能家居市场年增速近30%!苹果看齐亚马逊、谷歌,欲开辟三足鼎立
  5. 卡内基梅隆大学提出基于学习的动作捕捉模型,用自监督学习实现人类3D动作追踪
  6. 【免费获取】80+页PPT全方位解读半导体行业
  7. 俄罗斯、乌克兰程序员薪资大曝光!年薪普遍 15w+,女程序员比男程序员收入高?...
  8. 不敢相信,原来大厂是这样找到精准人才的!
  9. 五年前的转正我没有留下,校招进不了大公司就是失败吗?
  10. ISP PIPLINE (九_1) Denoise 之 space domain denoise