内容安全策略 (CSP, Content Security Policy) 是一个附加的安全层,用于帮助检测和缓解某些类型的攻击,包括跨站脚本 (XSS) 和数据注入等攻击。 这些攻击可用于实现从数据窃取到网站破坏或作为恶意软件分发版本等用途。
尽管内容安全策略在 Firefox 4 中已经包含,使用 X-Content-Security-Policy 头部来实现,但它使用的是过时的 CSP 标准。Firefox 23 包含了更新的 CSP 实现,使用的是 W3C CSP 1.0 标准中描述的没有前缀的 Content-Security-Policy 头部和指令。
内容安全策略主题
- 介绍内容安全策略
- 概述什么是 CSP,以及它如何让你的网站变得更安全。
- CSP 策略指令
- CSP 策略指令参考。
- 使用内容安全策略
- 你可以通过配置策略集调整 CSP 的行为。这让你可以按需对个别类型的资源使用宽松或严格的安全策略。这篇文章讲述了如何建立 CSP 和如何激活你网站的 CSP。
- 使用 CSP 违规报告
- 如何使用 CSP 违规报告来监视攻击你网站的尝试和攻击者。
- 默认 CSP 限制 已废弃 Gecko 15.0
- CSP 强制实施的默认限制的细节