挺久之前過了一遍CSP的安全策略，很多人把它喻為XSS***的終結(jié)者，因為這種策略不再像傳統(tǒng)只靠各種正則和特征匹配來識別跨站***Payload，而是直接從協(xié)議層把一些存在安全隱患的用法默認給干掉了，把同源同域更發(fā)揮到了極致。之前把一些內(nèi)容整理到了txt里，發(fā)在這里備忘一下吧:)

創(chuàng)新互聯(lián)建站-專業(yè)網(wǎng)站定制、快速模板網(wǎng)站建設(shè)、高性價比桑日網(wǎng)站開發(fā)、企業(yè)建站全套包干低至880元,成熟完善的模板庫,直接使用。一站式桑日網(wǎng)站制作公司更省心,省錢,快速模板網(wǎng)站建設(shè)找我們，業(yè)務(wù)覆蓋桑日地區(qū)。費用合理售后完善，10多年實體公司更值得信賴。

1)CSP策略在默認的情況下是不允許使用data URIs資源的,如果要使用，那么需要顯示的指定,比如:img-src 'self' data:

2)通過CRLF相應(yīng)頭分裂注入來BypassCSP需要將新的相應(yīng)頭插入到原來的CSP下面，在處理相同名字的Http頭時候，少數(shù)瀏覽器是根據(jù)第一次出現(xiàn)的來設(shè)置，大部分則是根據(jù)最后一次出現(xiàn)的同名Http頭來設(shè)置。兩次

3)script-src：在處理腳本資源的時候設(shè)置"unsafe-inline"可以阻止內(nèi)聯(lián)Js代碼的執(zhí)行。使用unsafe-eval開關(guān)可以禁止eval,setTimeout,setInterval函數(shù)的執(zhí)行。

4)object-src：控制embed,code,archive applet等對象。

5)style-src：會控制樣式表@import和rel時所引入的URI資源，設(shè)置unsafe-inline規(guī)則可以是瀏覽器拒絕解析內(nèi)部樣式和內(nèi)聯(lián)樣式定義。并不會阻止鏈入外部樣式表。

6)img-src：可以控制圖片資源的連接，包括img標(biāo)簽的src屬性，以及CSS3中的url()和p_w_picpath()方法，以及l(fā)ink標(biāo)簽中的href屬性(當(dāng)rel設(shè)置成與圖像相關(guān)的值，比如HTML支持的icon)

7)media-src:控制媒體類型的外部鏈入資源，如video, audio, source, 和track標(biāo)簽的src屬性。

8)frame-src:控制內(nèi)嵌框架包含的外部頁面連接：iframe or a frame。

9)font-src：控制CSS中的@font-face

10)connect-src：控制XMLHttpRequest中的open()，WebSocket，EventSource

11)inline script和eval類型函數(shù)(包括eval、setInterval、setTimeout和new Function())是不被執(zhí)行的。另外data URIs也是默認不允許使用的，XBL,只允許通過chrome:和resource:形式uri請求的XBL,其它的比如在CSS中通過-moz-binding來指定的XBL則不允許被執(zhí)行。

另外有需要云服務(wù)器可以了解下創(chuàng)新互聯(lián)scvps.cn，海內(nèi)外云服務(wù)器15元起步，三天無理由+7*72小時售后在線，公司持有idc許可證，提供“云服務(wù)器、裸金屬服務(wù)器、高防服務(wù)器、香港服務(wù)器、美國服務(wù)器、虛擬主機、免備案服務(wù)器”等云主機租用服務(wù)以及企業(yè)上云的綜合解決方案，具有“安全穩(wěn)定、簡單易用、服務(wù)可用性高、性價比高”等特點與優(yōu)勢，專為企業(yè)上云打造定制，能夠滿足用戶豐富、多元化的應(yīng)用場景需求。

當(dāng)前文章：CSP瀏覽器安全策略備忘-創(chuàng)新互聯(lián)
轉(zhuǎn)載源于：http://weahome.cn/article/pcsed.html