csp 安全策略
csp介绍: W3C组织还针对XSS攻击制定了一个叫做CSP的安全层,也就是内容安全策略(ContentSecurity Policy)。它的出现是为了帮助检测和缓解某些类型的攻击,比如跨站脚本(XSS)和数据注入等攻击,从而引入的浏览器策略。开发者可以根据CSP的规范,去创建一些很严格的规则,比如说白名单策略,管理网站允许加载的内容。当网站加载了非预期的内容,浏览器会及时阻止并且上报,减少出现安全风险时的损失。
防御原理:
<meta charset="utf-8">
<?php
//只允许加载本地源图片:
header("Content-Security-Policy:img-src 'self' ");
?>
//允许加载所有源下的图片
<meta http-equiv="Content-Security-Policy" content="img-src*;">
//加载的是一张我随意百度的图片
<img src="https://www.baidu.com/img/24lianghui_3fa64faa4dd8496d4ab2a1d411a93dad.gif"/>
当你加入了header("Content-Security-Policy:img-src 'self' ");内容时,他会禁止你访问外部链 接,既然你不能访问外部链接就不会访问到攻击者指定的地址去
我们可以看到图片不能加载,除此之外,我们在网络模块中,可以看到响应头中的确出现了安全政策。 当我们把header("Content-Security-Policy:img-src 'self' ");注释掉的时候,就可以发现图片可以加载了
标签:xss,img,XSS,漏洞,防御,Policy,图片,加载 From: https://www.cnblogs.com/lovexiaoxingxing/p/18180338