Content Security Policy,简称 CSP,即内容安全策略。它主要是用来定义哪些资源可以被当前页面加载,从而防御 XSS 和 CSRF 攻击。通过定义一套页面资源加载白名单规则,浏览器会使用csp规则去匹配所有资源,禁止加载不符合规则的资源,而且可以将非法资源请求进行上报。
作为开发者只需要在服务端配置,明确告诉浏览器,哪些外部资源可以加载执行,其他工作浏览器自己完成。
这样即使网站存在XSS漏洞,攻击者是无法注入脚本的,除非它可以控制可信的白名单主机,但这是不可能实现的。
我们看一个例子,创建test.html
- DOCTYPE html>
午夜观星河 xss漏洞位置: