本文介绍的是W3C的Content Security Policy,简称CSP。望文生义,这个规范与内容安全有关,首要是用来界说页面能够加载哪些资源,削减XSS的发作。
Chrome扩展现已引进了CSP,经过manifest.json中的content_security_policy字段来界说。一些现代浏览器也支撑经过呼应头来界说CSP。下面咱们首要介绍怎么经过呼应头来运用CSP,Chrome扩展中CSP的运用能够参阅Chrome官方文档。
前期的Chrome是经过X-WebKit-CSP呼应头来支撑CSP的,而firefox和IE则支撑X-Content-Security-Policy,Chrome25和Firefox23开端支撑规范的的Content-Security-Policy,见下表。
完好的浏览器CSP支撑状况请移步CanIUse。
要运用CSP,只需要服务端输出相似这样的呼应头就行了:
Content-Security-Policy: default-src 'self'
default-src是CSP指令,多个指令之间用英文分号切割;'self'是指令值,多个指令值用英文空格切割。现在,有这些CSP指令:
指令值能够由下面这些内容组成:
[1] [2] 黑客接单网
...
Exploit Kit职业现在正在发作新的调整,原先许多具有进犯性的缝隙进犯套件或许消失,或许市场份额削减,比方Nuclear EK和AnglerEK这样的职业大鳄几乎在同一时刻消失了,咱们估测这可能...
缘起偶刷《长安十二时辰》,午睡时,梦到我穿越到了唐朝,在长安城中的靖安司,做了一天的靖安司司丞。当徐宾遇害消失的时分我不在司内,其时的景象我不得而知。后来徐宾醒了,据他描述说“通传陆三”是暗桩,几乎致...
0x01 前语 材料来历: http://javaweb.org/?p=567 http://zone.wooyun.org/content/19379 http://drops.wooyun.or...
概述 WEB进犯是十几年来黑客进犯的干流技能,国内的大厂们早已把WAF作为安全基础设施的标配,市面上也有许多安全厂商供给了WAF产品或云WAF服务。 关于没有自己安全团队,却又饱尝sql注入、xss...
东西预备 BurpSuiteFree (或许咱们最喜爱最常用的抓包神器,需求Java环境); 火狐浏览器(个人比较喜爱的浏览器;360/Chrome等浏览器都能够); SwitchyOmega插件(设...