內容安全策略 ( CSP )

　　內容安全策略 (CSP) 是一個(gè)額外的安全層，用于檢測并削弱某些特定類(lèi)型的攻擊，包括跨站腳本 (XSS) 和數據注入攻擊等。無(wú)論是數據盜取、網(wǎng)站內容污染還是散發(fā)惡意軟件，這些攻擊都是主要的手段。

　　CSP 被設計成完全向后兼容，不支持 CSP 的瀏覽器也能與實(shí)現了 CSP 的服務(wù)器一樣正常運行，只是在不支持 CSP 的瀏覽器會(huì )忽略它，默認為網(wǎng)頁(yè)內容使用標準的同源策略。如果網(wǎng)站不提供 CSP 頭部，瀏覽器也使用標準的同源策略。

　　為使 CSP 可用，你需要配置你的網(wǎng)絡(luò )服務(wù)器返回 Content-Security-Policy HTTP 頭部 ( 有時(shí)你會(huì )看到一些關(guān)于X-Content-Security-Policy頭部，那是舊版本)。

　　除此之外，元素也可以被用來(lái)配置該策略，例如

　　跨站腳本攻擊

　　CSP 的主要目標是減少和報告 XSS 攻擊 ，XSS 攻擊利用了瀏覽器對于從服務(wù)器所獲取的內容的信任。惡意腳本在受害者的瀏覽器中得以運行，因為瀏覽器信任其內容來(lái)源，即使有的時(shí)候這些腳本并非來(lái)自于它本該來(lái)的地方。

　　CSP 通過(guò)指定有效域——即瀏覽器認可的可執行腳本的有效來(lái)源——使服務(wù)器管理者有能力減少或消除 XSS 攻擊所依賴(lài)的載體。一個(gè) CSP 兼容的瀏覽器將會(huì )僅執行從白名單域獲取到的腳本文件，忽略所有的其他腳本 (包括內聯(lián)腳本和 HTML 的事件處理屬性)。

　　作為一種終極防護形式，始終不允許執行腳本的站點(diǎn)可以選擇全面禁止腳本執行。

　　除限制可以加載內容的域，服務(wù)器還可指明哪種協(xié)議允許使用；比如 (從理想化的安全角度來(lái)說(shuō))，服務(wù)器可指定所有內容必須通過(guò) HTTPS 加載。

　　使用 CSP

　　配置內容安全策略涉及到添加 Content-Security-Policy HTTP 頭部到一個(gè)頁(yè)面，并配置相應的值，以控制用戶(hù)代理（瀏覽器等）可以為該頁(yè)面獲取哪些資源。

　　你可以使用 Content-Security-Policy HTTP 頭部 來(lái)指定你的策略，像這樣：

　　Content-Security-Policy: policy

　　policy 參數是一個(gè)包含了各種描述你的 CSP 策略指令的字符串。

　　描述策略

　　一個(gè)策略由一系列策略指令所組成，每個(gè)策略指令都描述了一個(gè)針對某個(gè)特定類(lèi)型資源以及生效范圍的策略。一個(gè)策略可以包含 default-src 或者 script-src 指令來(lái)防止內聯(lián)腳本運行，并杜絕 eval() 的使用。一個(gè)策略也可包含一個(gè) default-src 或 style-src 指令去限制來(lái)自一個(gè)元素或者 style 屬性的內聯(lián)樣式。

　　CSP: script-src：指令指定 JavaScript 的有效來(lái)源。這不僅包括直接加載到