CSP

（暂放） 原文链接 http://www.w3.org/TR/2011/WD-CSP-20111129/

本文档开放给所有人编辑，希望参与贡献请移步下面地址注册： http://www.w3.org/Help/Account/Request/Public

介绍

这部分非规范.

本文档定义了内容安全策略的机制,Web应用可以使用它缓解普遍的内容注入漏洞,如跨站漏洞(XSS),内容安全策略是一个公开的策略,Web应用的作者(或服务器管理员)可以使用它限制资源的加载.

例如,为了缓解XSS攻击,一个Web应用程序可以限制本身加载脚本只能从信任的URI,使攻击者难以注入恶意脚本.

内容安全策略(CSP)并不是作为内容注入漏洞的第一道防线.相反,CSP是最适合用来作为深度防御,以减少内容注入攻击所造成的危害.

通常,将现有Web应用程序应用CSP,为了获得最好的效果,作者将需要移动所有内嵌脚本和样式行,例如到外部脚本,因为用户代理不能确定是否有内嵌脚本注入攻击.

使用CSP时,Web应用可以通过提供一个Content-Security-Policy HTTP头或一个META的HTML元素.不过这样的政策只在当前文档适用而已.可以为整个网站,服务器提供应一个策略随着每个资源进行表示.

一致性

术语

框架

策略传输方式

Content-Security-Policy Header 字段

Content-Security-Policy-Report-Only Header 字段

HTML meta 元素

语法

策略

源列表

处理模型

指令

default-src

script-src

object-src

style-src

img-src

media-src

frame-src

font-src

connect-src

sandbox

report-uri

policy-uri

范例

策略定义样本

违规报告样本

引用

规范性引用文件

资料性参考文献