Warning:
This wiki has been archived and is now read-only.
CSP
From HTML5 Chinese Interest Group Wiki
(暂放) 原文链接 http://www.w3.org/TR/2011/WD-CSP-20111129/
本文档开放给所有人编辑,希望参与贡献请移步下面地址注册: http://www.w3.org/Help/Account/Request/Public
介绍
这部分非规范.
本文档定义了内容安全策略的机制,Web应用可以使用它缓解普遍的内容注入漏洞,如跨站漏洞(XSS),内容安全策略是一个公开的策略,Web应用的作者(或服务器管理员)可以使用它限制资源的加载.
例如,为了缓解XSS攻击,一个Web应用程序可以限制本身加载脚本只能从信任的URI,使攻击者难以注入恶意脚本.
内容安全策略(CSP)并不是作为内容注入漏洞的第一道防线.相反,CSP是最适合用来作为深度防御,以减少内容注入攻击所造成的危害.
通常,将现有Web应用程序应用CSP,为了获得最好的效果,作者将需要移动所有内嵌脚本和样式行,例如到外部脚本,因为用户代理不能确定是否有内嵌脚本注入攻击.
使用CSP时,Web应用可以通过提供一个Content-Security-Policy HTTP头或一个META的HTML元素.不过这样的政策只在当前文档适用而已.可以为整个网站,服务器提供应一个策略随着每个资源进行表示.