nginx 设置 Content-Security-Policy
时间: 2023-10-31 18:36:22 浏览: 37
可以在 nginx 配置文件中添加以下指令来设置 Content-Security-Policy:
add_header Content-Security-Policy "directive1; directive2; ...";
其中 directive1、directive2 等为 Content-Security-Policy 指令。常见的指令包括:
default-src:指定默认允许加载资源的来源;
script-src:指定允许加载 JavaScript 的来源;
style-src:指定允许加载 CSS 的来源;
img-src:指定允许加载图片的来源;
font-src:指定允许加载字体的来源;
等等。
详细的指令及用法可以参考 Content Security Policy Level 3 Specification。
相关问题
nginx 配置Content-Security-Policy
要在 Nginx 中配置 Content-Security-Policy,需要在服务器的配置文件中添加以下代码:
```
add_header Content-Security-Policy "default-src 'self' https: data: 'unsafe-inline' 'unsafe-eval';";
```
这个配置中,`default-src` 指定了默认的资源加载策略,`'self'` 表示只允许加载同源资源,`https:` 表示只允许加载 HTTPS 资源,`data:` 表示允许加载数据 URI,`'unsafe-inline'` 表示允许内联脚本和样式,`'unsafe-eval'` 表示允许使用 eval() 函数。
在实际使用中,你可以根据自己网站的需要,调整 CSP 的配置,以保护网站的安全性。
nginx的 Content-Security-Policy
(Content-Security-Policy) 是什么?它有什么作用?
Content-Security-Policy是一种网页安全政策,用于限制网页资源的获取和使用,从而防止跨站脚本攻击(XSS)和其他恶意行为。它通过定义一组规则来防止网页加载外部资源,例如JavaScript或CSS等,从而限制攻击者可以执行的操作。这可以减少攻击面并增加网页的安全性。