Content Security Policy 入门教程 - 阮一峰的网络日志

二、限制选项

CSP 提供了很多限制选项，涉及安全的各个方面。

2.1 资源加载限制

以下选项限制各类资源的加载。

script-src ：外部脚本

style-src ：样式表

img-src ：图像

media-src ：媒体文件（音频和视频）

font-src ：字体文件

object-src ：插件（比如 Flash）

child-src ：框架

frame-ancestors ：嵌入的外部资源（比如<frame>、<iframe>、<embed>和<applet>）

connect-src ：HTTP 连接（通过 XHR、WebSockets、EventSource等）

worker-src ：


    worker

脚本

manifest-src ：manifest 文件

2.2 default-src

default-src 用来设置上面各个选项的默认值。

Content-Security-Policy: default-src 'self'

上面代码限制 所有的 外部资源，都只能从当前域名加载。

如果同时设置某个单项限制（比如 font-src ）和 default-src ，前者会覆盖后者，即字体文件会采用 font-src 的值，其他资源依然采用 default-src 的值。

2.3 URL 限制

有时，网页会跟其他 URL 发生联系，这时也可以加以限制。

frame-ancestors ：限制嵌入框架的网页

base-uri ：限制


    <base#href>

form-action ：限制


    <form#action>

2.4 其他限制

其他一些安全相关的功能，也放在了 CSP 里面。

block-all-mixed-content ：HTTPS 网页不得加载 HTTP 资源（浏览器已经默认开启）

upgrade-insecure-requests ：自动将网页上所有加载外部资源的 HTTP 链接换成 HTTPS 协议

plugin-types ：限制可以使用的插件格式

sandbox ：浏览器行为的限制，比如不能有弹出窗口等。

2.5 report-uri

有时，我们不仅希望防止 XSS，还希望记录此类行为。 report-uri 就用来告诉浏览器，应该把注入行为报告给哪个网址。

Content-Security-Policy: default-src 'self'; ...; report-uri /my_amazing_csp_report_parser;

上面代码指定，将注入行为报告给 /my_amazing_csp_report_parser 这个 URL。

浏览器会使用 POST 方法，发送一个JSON对象，下面是一个例子。

"csp-report": { "document-uri": "http://example.org/page.html", "referrer": "http://evil.example.com/", "blocked-uri": "http://evil.example.com/evil.js", "violated-directive": "script-src 'self' https://apis.google.com", "original-policy": "script-src 'self' https://apis.google.com; report-uri http://example.org/my_amazing_csp_report_parser"

三、Content-Security-Policy-Report-Only

除了 Content-Security-Policy ，还有一个 Content-Security-Policy-Report-Only 字段，表示不执行限制选项，只是记录违反限制的行为。

它必须与 report-uri 选项配合使用。

Content-Security-Policy-Report-Only: default-src 'self'; ...; report-uri /my_amazing_csp_report_parser;

四、选项值

每个限制选项可以设置以下几种值，这些值就构成了白名单。

主机名：


    example.org

，


    https://example.com:443

路径名：


    example.org/resources/js/

通配符：


    *.example.org

，


    *://*.example.com:*

（表示任意协议、任意子域名、任意端口）

协议名：


    https:

、


    data:

关键字


    'self'

：当前域名，需要加引号

关键字


    'none'

：禁止加载任何外部资源，需要加引号

多个值也可以并列，用空格分隔。

Content-Security-Policy: script-src 'self' https://apis.google.com

如果同一个限制选项使用多次，只有第一次会生效。

# 错误的写法 script-src https://host1.com; script-src https://host2.com # 正确的写法 script-src https://host1.com https://host2.com

如果不设置某个限制选项，就是默认允许任何值。

五、script-src 的特殊值

除了常规值， script-src 还可以设置一些特殊值。注意，下面这些值都必须放在单引号里面。

'unsafe-inline' ：允许执行页面内嵌的


    &lt;script>

标签和事件监听函数

unsafe-eval ：允许将字符串当作代码执行，比如使用


    eval

、


    setTimeout

、


    setInterval

和


    Function

等函数。

nonce值 ：每次HTTP回应给出一个授权token，页面内嵌脚本必须有这个token，才会执行

hash值 ：列出允许执行的脚本代码的Hash值，页面内嵌脚本的哈希值只有吻合的情况下，才能执行。

nonce值的例子如下，服务器发送网页的时候，告诉浏览器一个随机生成的token。

Content-Security-Policy: script-src 'nonce-EDNnf03nceIOfn39fn3e9h3sdfa'

页面内嵌脚本，必须有这个token才能执行。

hash值的例子如下，服务器给出一个允许执行的代码的hash值。

Content-Security-Policy: script-src 'sha256-qznLcsROx4GACP2dm0UCKCzCG-HiZ1guq6ZZDob_Tng='

下面的代码就会允许执行，因为hash值相符。

注意，计算hash值的时候，<script>标签不算在内。

除了 script-src 选项，nonce值和hash值还可以用在 style-src 选项，控制页面内嵌的样式表。

六、注意点

（1） script-src 和 object-src 是必设的，除非设置了 default-src 。

因为攻击者只要能注入脚本，其他限制都可以规避。而 object-src 必设是因为 Flash 里面可以执行外部脚本。

（2） script-src 不能使用 unsafe-inline 关键字（除非伴随一个nonce值），也不能允许设置 data: URL。

下面是两个恶意攻击的例子。

（3）必须特别注意 JSONP 的回调函数。

上面的代码中，虽然加载的脚本来自当前域名，但是通过改写回调函数，攻击者依然可以执行恶意代码。

七、参考链接

CSP Is Dead, Long Live CSP! , by Lukas Weichselbaum

An Introduction to Content Security Policy , by Mike West

大佬，我被一个CSP的问题困住了，求帮助；
客户提出要修复CSP的问题，我就设定了：script-src 'self' 'unsafe-eval' 'unsafe-inline';
客户说不能用'unsafe-inline'，要用nonce；
我就修改为script-src 'self' 'unsafe-eval' 'nonce-EDNnf03nceIOfn39fn3e9h3sdfa'；
这样OK，但是出现一个新的问题，JSP上面的监听事件全部都报错，例如：onload，onchange，onblur.....；
除了以下2种办法外，有没有其他办法来解决？
1. 添加回'unsafe-inline'
2. document.getElementById("userId").addEventListener('focus', chgOnFocusBgColor(this)); -- > 这个修改量太大了