2
Content-Security-Policy頭似乎是讓網站更安全的好方法。然而,我們試圖找到任何使用這個頭的大型網站,我們沒有找到任何一個,與許多其他安全相關的頭文件不同。這很奇怪,我想知道是否有任何問題(緩存,錯誤等),可能是由這個頭引起的。使用Content-Security-Policy Header安全嗎?
A
回答
2
是的,CSP是安全的,但你不能單靠它。
CSP將會使XSS攻擊非常困難(雖然不是不可能),因爲訪問者的瀏覽器支持它。
許多瀏覽器不支持它 - IE11仍然不支持,所以您仍然需要嚴格管理顯示或回顯的任何用戶輸入以限制您的風險。
在現有的應用程序中實現CSP可能會非常痛苦,以獲得您停止使用內聯CSS和Javascript的全部好處。這又打破了許多庫和框架 - 例如Modernizer breaks with CSP on。
由於這個原因,它尚未被廣泛使用。
相關問題
- 1. Ember的contentSecurityPolicy
- 2. 使用javascript sha1安全嗎?
- 3. 使用SET ROWCOUNT安全嗎?
- 4. 要使用shared_ptr,安全嗎?
- 5. 使用代理安全嗎?
- 6. 使用MD5不安全嗎?
- 7. 使用Capistrano安全嗎?
- 8. 使用Parse.Object.attributes安全嗎?
- 9. 使用window.screen安全嗎?
- 10. 使用ComputedProperty安全嗎?
- 11. 使用RESTful API - 安全嗎?
- 12. 使用cstdarg安全嗎?
- 13. 關於header()和表單的安全性
- 14. TempData:安全嗎?
- 15. FormsAuthentication:安全嗎?
- 16. 使用用戶的RegEx安全嗎?
- 17. 「User.Identity.Name」安全嗎?
- 18. CustomView安全嗎?
- 19. 這是安全使用不安全的協議嗎?
- 20. Flex:removeEventListener安全嗎?
- 21. JQuery安全嗎?
- 22. pramid.security.remember安全嗎?
- 23. 在enumerateObjectsUsingBlock:?期間使用removeObject安全嗎?
- 24. sql server 2005:使用@@身份安全嗎?
- 25. 使用ALGORITHM = INPLACE for MySql安全嗎?
- 26. 使用與鹽SHA1()安全嗎?
- 27. 使用esp下的堆棧安全嗎?
- 28. 在測試中使用DateTimeUtils.setCurrentMillisFixed安全嗎?
- 29. Mongo ObjectIDs:在野外使用安全嗎?
- 30. 使用PDO類InDirectly更安全嗎?
[Twitter使用CSP。](https://blog.twitter.com/2011/improving-browser-security-csp) – Gumbo
是的,它可以安全地使用CSP。支持CSP的瀏覽器將強制實施該策略。不知道的瀏覽器會默默地忽略它。意識到的瀏覽器包括Chrome版本25及更高版本和Firefox版本23. OWASP有一個專門用於[內容安全策略](https://www.owasp.org/index.php/Content_Security_Policy)的頁面。 – jww
爲了從CSP中獲得真正的優勢,必須禁止使用eval,HTML屬性內的腳本等代碼。由於這些不安全的構造被廣泛使用,因此很多Web應用程序需要重寫才能獲得CSP的安全優勢。這將花費時間和金錢,因此大多數公司只是以廉價的方式獲得,並希望沒有人發現錯誤。當然,只要IE不支持完整的CSP,安全優勢可能不夠大:( –