-
CSP
(內容安全策略)
鎖定
CSP指的是內容安全策略,為了緩解很大一部分潛在的跨站腳本問題,瀏覽器的擴展程序系統引入了內容安全策略(CSP)的一般概念。這將引入一些相當嚴格的策略,會使擴展程序在默認情況下更加安全,開發者可以創建並強制應用一些規則,管理網站允許加載的內容。
- 中文名
- 內容安全策略
- 外文名
- CSP
- 目 的
- 緩解潛在的跨站腳本問題
- 優 點
- 使擴展程序在默認情況下更加安全
釋義
CSP
[1]
以白名單的機制對網站加載或執行的資源起作用。在網頁中,這樣的策略通過 HTTP 頭信息或者 meta 元素定義。CSP雖然提供了強大的安全保護,但是他也造成了如下問題:Eval及相關函數被禁用、內嵌的JavaScript代碼將不會執行、只能通過白名單來加載遠程腳本。這些問題阻礙CSP的普及,如果要使用CSP技術保護自己的網站,開發者就不得不花費大量時間分離內嵌的JavaScript代碼和做一些調整,參考文獻彙總的Content Security Policy 1.0 研究的技術可以自動化分離代碼和數據,幫助網站支持CSP技術避免潛在的跨站攻擊。
- 參考資料
-
- 1. Content Security Policy 1.0 .www.w3.org[引用日期2014-03-17]