类别:LINUX / GNU / 日期:2020-05-02 / 浏览:2268 / 评论:0
CSP 指的是内容安全策略,为了缓解很大一部分潜在的跨站脚本问题,浏览器的扩展程序系统引入了内容安全策略(CSP)的一般概念。这将引入一些相当严格的策略,会使扩展程序在默认情况下更加安全,开发者可以创建并强制应用一些规则,管理网站允许加载的内容。
根据网上提供的参考,修改的.. 确保标点符号是有效的,设置的时候被标点符号坑惨了!
#Content-Security-Policy: 通过指定允许加载哪些资源的形式,来防止跨站脚本注入。 #Access-Control-Allow-Origin: 告诉浏览器,允许哪些其他站点的前端 JavaScript 代码对页面发出请求。 #X-XSS-Protection: 指示浏览器停止执行跨站脚本攻击检测。 #X-Content-Type-Options: 确保浏览器遵守应用程序设置的 MIME 类型。 #Strict-Transport-Security: 只能通过 HTTPS 访问网站。
Apache例子设置如下:
<IfModule mod_headers.c> #Header set Content-Security-Policy: default-src'self';img-src'self'https://www.onx8.com;object-src'none';script-src'self';style-src'self';frame-ancestors'self';base-uri'self';form-action'self'; #Header set Access-Control-Allow-Origin: https://www.onx8.com Header set X-XSS-Protection: 1;mode=block Header set X-Content-Type-Options: nosniff Header set Strict-Transport-Security: max-age=31536000;includeSubDomains </IfModule>
Nginx例子设置如下:
#add_header Content-Security-Policy "default-src 'self';img-src 'self' https://www.onx8.com;object-src 'none';script-src 'self';style-src 'self';frame-ancestors 'self';base-uri 'self';form-action 'self'"; #add_header Access-Control-Allow-Origin: https://www.onx8.com; add_header Strict-Transport-Security "max-age=31536000; includeSubdomains; preload"; add_header X-XSS-Protection "1; mode=block"; add_header X-Frame-Options deny; add_header X-Content-Type-Options nosniff;
设置完成之后可以通过MySSL检测当前网站的安全等级。
版权声明 : 本文使用「署名-相同方式共享 4.0 国际」创作共享协议,转载或使用请遵守署名协议 / Article Use Creative Commons Attribution-ShareAlike 4.0 International License「CC BY 4.0」
发表评论 / 取消回复