HTTPS 是 HTTP over Secure Socket Layer,以安全为目标的 HTTP 通道,所以在 HTTPS 承载的页面上不允许出现 http 请求,一旦出现就是提示或报错: Mixed Content: The page at https://www.taobao.com/ was loaded over HTTPS, but requested an insecure image http://g.alicdn.com/s.gif. This content should also be served over HTTPS. HTTPS改造之后,我们可以在很多页面中看到如下警报: 很多运营对 https 没有技术概念,在填入的数据中不免出现 http 的资源,体系庞大,出现疏忽和漏洞也是不可避免的。 CSP设置upgrade-insecu
2015-09-07 14:20 李靖
本文介绍的是W3C的Content Security Policy,简称CSP。顾名思义,这个规范与内容安全有关,主要是用来定义页面可以加载哪些资源,减少XSS的发生。 Chrome扩展已经引入了CSP,通过manifest.json中的content_security_policy字段来定义。一些现代浏览器也支持通过响应头来定义CSP。下面我们主要介绍如何通过响应头来使用CSP,Chrome扩展中CSP的使用可以参考Chrome官方文档。 浏览器兼容性 早期的Chrome是通过X-WebKit-CSP响应头来支持CSP的,而firefox和IE则支持X-Content-Security-Policy,Chrome25和Firefox23开始支持标准的的Content-Se
2015-07-19 12:27 Jerry Qu
CSP 对你的用户来说是尤其重要的:他们在你的网站上不再需要遭受任何的未经请求的脚本,内容或 XSS 的威胁了。对于网站维护者来说 CSP 最重要的优势就是可感知。如果你对图片来源设置了严格的规则,这时一个脚本小子尝试在你的网站上插入一张未授权来源的图片,那么这张图片就会被禁止,并且你会在第一时间收到提醒。
2016-10-10 14:58 Nicolas Hoffmann, wcnnbdk1
两年前,我写过一篇介绍 Content Security Policy(CSP)的文章,CSP 是一个用来定义页面可以加载或执行哪些资源的协议,目前已经发展到了 Level 2。我在本站之前的文章中已经多次提到过 CSP2,这篇文章也早就躺在我的草稿箱,只是断断续续写了好久才写完。 CSP2 简单介绍 CSP2 基本兼容 CSP1 指令,但有一些变化和新的指令,简单汇总如下: 现在配置资源 URL 白名单时,可以使用具体的路径来实现更精细的规则; 现在 Worker 加载策略由新增的child-src指令控制,而不是script-src;另外,CSP1 中 Worker 的加载策略由父页面决定,而 CS
2015-10-31 13:08 Jerry Qu
分享到微信
打开微信,点击顶部的“╋”,
使用“扫一扫”将网页分享至微信。
标签: