什么是Content-Security-Policy?
时间: 2023-11-21 16:56:29 浏览: 49
Content-Security-Policy(CSP)是一种安全机制,用于检测和减轻某些类型的攻击,例如跨站点脚本(XSS)和数据注入攻击。CSP通过允许站点管理员指定允许加载的内容来源来实现此目的。这些来源可以包括服务器本身,以及其他站点或域。CSP可以通过HTTP标头或HTML meta标记来实现。在HTTP标头中,可以使用“Content-Security-Policy”或“Content-Security-Policy-Report-Only”标头来指定策略。在HTML meta标记中,可以使用“http-equiv”属性和“Content-Security-Policy”值来指定策略。
下面是一个使用koa-csp中间件设置CSP的例子:
```javascript
import Koa from 'koa';
import csp from 'koa-csp';
const app = new Koa();
// 设置CSP策略
app.use(csp({
// 指定允许加载的内容来源
// 这里允许加载来自本站和Google Analytics的内容
policy: {
'default-src': "'self'",
'script-src': ["'self'", 'www.google-analytics.com'],
'style-src': ["'self'", 'fonts.googleapis.com'],
'font-src': ["'self'", 'fonts.gstatic.com'],
'img-src': ["'self'", 'www.google-analytics.com'],
'connect-src': ["'self'", 'www.google-analytics.com'],
'frame-src': ["'self'", 'www.google.com']
}
}));
app.listen(3000);
```
相关推荐
![md](https://img-home.csdnimg.cn/images/20210720083646.png)
![zip](https://img-home.csdnimg.cn/images/20210720083736.png)
![zip](https://img-home.csdnimg.cn/images/20210720083736.png)
![](https://csdnimg.cn/download_wenku/file_type_ask_c1.png)
![](https://csdnimg.cn/download_wenku/file_type_ask_c1.png)
![](https://csdnimg.cn/download_wenku/file_type_ask_c1.png)
![](https://csdnimg.cn/download_wenku/file_type_ask_c1.png)
![](https://csdnimg.cn/download_wenku/file_type_ask_c1.png)
![](https://csdnimg.cn/download_wenku/file_type_ask_c1.png)
![](https://csdnimg.cn/download_wenku/file_type_ask_c1.png)
![](https://csdnimg.cn/download_wenku/file_type_ask_c1.png)
![](https://csdnimg.cn/download_wenku/file_type_ask_c1.png)
![](https://csdnimg.cn/download_wenku/file_type_ask_c1.png)
![](https://csdnimg.cn/download_wenku/file_type_ask_c1.png)
![](https://csdnimg.cn/download_wenku/file_type_ask_c1.png)
![](https://csdnimg.cn/download_wenku/file_type_ask_c1.png)
![](https://csdnimg.cn/download_wenku/file_type_ask_c1.png)
![](https://csdnimg.cn/download_wenku/file_type_ask_c1.png)