CSP是一种浏览器支持的安全机制,通过HTTP响应头Content-Security-Policy定义可加载资源的可信源,防止XSS和数据注入攻击;其核心指令如script-src限制JavaScript执行,推荐使用'self'、nonce或hash机制禁止内联脚本与eval,避免'unsafe-inline',并结合report-only模式与上报机制调试策略,提升Web应用安全性。
内容安全策略(Content Security Policy,简称 CSP)是一种重要的网页安全机制,用于防止跨站脚本(XSS)、数据注入等攻击。通过在 HTTP 响应头中设置 CSP 策略,可以明确指定浏览器只能加载和执行来自可信源的资源,从而有效限制恶意脚本的执行。尤其在使用 JavaScript 的场景中,CSP 的配置尤为重要。
什么是 CSP?
CSP 是一种由浏览器支持的安全层,允许网站开发者定义哪些资源可以被加载和执行。它通过 HTTP 响应头 Content-Security-Policy 来配置。例如:
Content-Security-Policy: default-src 'self';这条策略表示:所有资源(如脚本、样式、图片等)只能从当前域名加载。
CSP 支持多种指令,用于控制不同类型的资源加载行为。常见指令包括:
立即学习“Java免费学习笔记(深入)”;
- default-src:作为其他资源类型的默认策略
- script-src:控制 JavaScript 脚本的加载与执行
- style-src:控制样式表的加载
- img-src:控制图像资源的来源
- connect-src:限制 XMLHttpRequest、fetch、WebSocket 等网络请求的目标
- frame-ancestors:防止页面被嵌套在 iframe 中(防御点击劫持)
JavaScript 相关的 CSP 配置要点
JavaScript 是 XSS 攻击的主要载体,因此 script-src 指令是 CSP 配置中的核心部分。以下是关键配置建议:
禁止内联脚本和 eval
- 避免使用
<script>alert(1)</script>这类内联脚本 - 禁用
eval()、setTimeout(string)、new Function()等动态代码执行方式 - 推荐将所有 JS 代码外链到独立文件中
示例策略:
Content-Security-Policy: script-src 'self';该策略只允许加载同源的脚本,内联脚本和 eval 将被阻止。
允许特定外部脚本
如果必须引入第三方库(如 Google Analytics、CDN 上的 jQuery),可显式添加可信源:
Content-Security-Policy: script-src 'self' https://cdn.example.com;使用 nonce 或 hash 提升灵活性
若无法完全避免内联脚本,可通过以下方式安全地授权特定脚本:
- nonce 方式:为每个请求生成唯一随机值
HTML 中需匹配 nonce:
<script nonce="abc123">console.log("allowed");</script>- hash 方式:基于脚本内容计算 SHA-256 值
适用于静态内联脚本,无需每次生成 nonce。
常见问题与调试方法
配置 CSP 后可能出现资源被误拦截的情况,可通过以下方式排查:
- 使用 Content-Security-Policy-Report-Only 头部进行灰度测试,不实际阻断请求,仅上报违规行为
- 配合
report-uri或report-to指令收集日志
浏览器开发者工具的控制台会显示被阻止的资源及其违反的策略,有助于快速定位问题。
最佳实践建议
- 尽量避免使用
'unsafe-inline'和'unsafe-eval' - 对所有动态脚本采用 nonce 或 hash 机制
- 区分生产环境与开发环境的策略强度
- 定期审查第三方依赖的域名,并限制最小权限
- 启用 HTTPS,防止中间人篡改策略
基本上就这些。合理配置 CSP 能显著提升 Web 应用的安全性,尤其是在处理用户输入或集成第三方服务时,不可忽视其作用。不复杂但容易忽略。
