《WEB安全渗透测试》(33)使用内容安全策略(content-security-policy)来防御XSS漏洞
1.内容安全策略
Content Security Policy,简称 CSP,即内容安全策略。它主要是用来定义哪些资源可以被当前页面加载,从而防御 XSS 和 CSRF 攻击。通过定义一套页面资源加载白名单规则,浏览器会使用csp规则去匹配所有资源,禁止加载不符合规则的资源,而且可以将非法资源请求进行上报。
作为开发者只需要在服务端配置,明确告诉浏览器,哪些外部资源可以加载执行,其他工作浏览器自己完成。
这样即使网站存在XSS漏洞,攻击者是无法注入脚本的,除非它可以控制可信的白名单主机,但这是不可能实现的。
我们看一个例子,创建test.html
午夜观星河
xss漏洞位置:
本文来自互联网用户投稿,文章观点仅代表作者本人,不代表本站立场,不承担相关法律责任。如若转载,请注明出处。 如若内容造成侵权/违法违规/事实不符,请点击【内容举报】进行投诉反馈!