關於Web的安全內容政策 - Content Security Policy (CSP)

阿Han-avatar-img
阿Han
發佈於 阿Han的軟體技術棧 💡
更新 發佈閱讀 6 分鐘

我們前面已經介紹過「關於Web的同源政策(Same Origin Policy)」,大致上對於Web的安全政策有一些基本的認識了,那麼在嚴格把關之下,仍需適度的開放約定的來源,此為「Web世界的邦交國政策 — 跨來源資源共用(Cross-Origin Resource Sharing, CORS)」,但是開放的同時,難免遇到一些攻擊,諸如「你的資料如何被偷走? Web安全篇 - 跨站請求偽造(CSRF )」、「Web世界中潛藏的危機 - 跨網站指令碼(XSS)」這類的攻擊手法,我們也具備一定的知識,接下來就進入到如何制定一些安全內容政策,來防止這類型的攻擊,也就是今天的主題Content Security Policy(CSP)。

文章最後將會提供一套CSP安全檢查工具,保護自身,避免踏入不安全地帶!



🔔還沒成為Potato會員的朋友點這裡加入哦,撰寫文章還能挖礦打造被動收入 🔔

raw-image

其實簡單來說就是白名單的概念,過濾入境人員,避免造成危害,在Web世界中亦是如此,防止載入不安全的內容,就算網站中具有注入腳本的地方也沒有關係,只要不載入或訪問外部資源就相對安全了。

為什麼制定安全政策這麼重要呢?

國家與國家之間雖然可以透過護照來入境,但總不可能所有人都無限制的進入吧!來來往往的人難免存在一些犯罪份子、通緝犯...等,如果未進行管制,那對國家的人民來說勢必會造成人身安全問題,因此對於入境人員就會有安檢機制,不能攜帶槍械、彈炮...等有害物品進入,被管制中的通緝犯也不能任意入境,這些都是基於安全政策,那麼網路世界呢? 其實Web中就是透過Content Security Policy(CSP)的方式來制定這樣的規則。

可以制定哪些規則呢?

這邊僅著重於概念的描述,因此列出幾個常見的來源白名單配置選項,至於完整選項請參考這裡。

  • connect-src: 指定來訪的連接源, websocket、XHR...等。
  • script-src:指定外部腳本的來源,通常我們會動態載入外部的腳本,那假設我們僅信任某些網站,就可以將這類網站資源加入白名單。
  • image-src: 圖片的來源。
  • media-src: <video>、<audio>...等影音來源。
  • frame-ancestors: 是否允許網站內嵌。
  • 更多規則請查看...

使用範例

以下的表達方式代表我們的腳本只能是相同domain來源,多組規則就使用;隔開。

Content-Security-Policy: script-src 'self'; img-src 'self'

什麼時候使用?

  • 互動式網站,例如留言、聊天...等,可以讓使用者輸入的網頁。
  • 與金流相關的重要功能。
  • 與使用者個人資訊高度相關的頁面。

什麼時候不需要使用?

  • 靜態網站:當網站的目標族群僅是提供瀏覽用。
  • 不需要登入也沒有Cookie,那麼這類型網站就可以不必使用Content Security Policy (CSP)。

來檢驗我們瀏覽的網站是否足夠安全吧!

raw-image

Google也非常佛心的提供了一套CSP Evaluator的檢查網站,讓我們將有疑慮的網址透過此工具進行檢查。

舉例來說,我們將「https://translate.google.com.tw/?hl=zh-TW」Google翻譯的網址,丟給工具進行檢查,以下會幫我們檢測出該網站的安全政策規則是否達標。

raw-image
raw-image

覺得上述步驟太過於複雜嗎? 因為上面的方式主要提供給開發者進行檢查自己的網站是否符合安全政策,對於一般使用者來說,假設使用的瀏覽器是chrome,那麼可以安裝這套由上述網站而來的物Chrome Extension CSP Evaluator。

安裝完成後,我們在進入一個網站時,右上角就會有安全等級標示,如果我們想要了解該網站哪些規則未制定,那麼就可以點開來看詳細資訊,不過一般使用者只需要知道以下標示的顏色所代表的意義即可:

raw-image
raw-image



🔔還沒成為Potato會員的朋友點這裡加入哦,撰寫文章還能挖礦打造被動收入 🔔

資源參考

  • https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Content-Security-Policy
  • https://www.imperva.com/learn/application-security/content-security-policy-csp-header/
  • https://content-security-policy.com/

📝更多Web相關文章

  • 關於Web的同源政策(Same Origin Policy)
  • Web世界的邦交國政策 — 跨來源資源共用(Cross-Origin Resource Sharing, CORS)
  • 你的資料如何被偷走? Web安全篇 - 跨站請求偽造(CSRF )
  • Web世界中潛藏的危機 - 跨網站指令碼(XSS)
  • 關於Web的安全內容政策 - Content Security Policy (CSP)

💬 如果想看更多精選文章,或者關於我的相關資訊請來這裡...

阿Han的沙龍 阿Han的軟體技術棧 💡Web
留言
avatar-img
阿Han的沙龍
153會員
328內容數
哈囉,我是阿Han,是一位 👩‍💻 軟體研發工程師,喜歡閱讀、學習、撰寫文章及教學,擅長以圖代文,化繁為簡,除了幫助自己釐清思路之外,也希望藉由圖解的方式幫助大家共同學習,甚至手把手帶您設計出高品質的軟體產品。
阿Han的沙龍的其他內容
2023/04/23
【Web微知識系列】 Web Workers
Web Workers主要提供簡單的API讓網頁在背景執行緒中執行程式而不干擾使用者的操作。 javascript主要功能是與user操作頁面互動及操作dom,試想若使用多執行緒的概念,那麼一個動作是新增至某個dom節點,另一個動作則是修改該dom節點,此時瀏覽器應該使用哪個動作為準? 所以為了避免
Thumbnail
2023/04/23
【Web微知識系列】 Web Workers
Web Workers主要提供簡單的API讓網頁在背景執行緒中執行程式而不干擾使用者的操作。 javascript主要功能是與user操作頁面互動及操作dom,試想若使用多執行緒的概念,那麼一個動作是新增至某個dom節點,另一個動作則是修改該dom節點,此時瀏覽器應該使用哪個動作為準? 所以為了避免
Thumbnail
2023/04/23
【Web微知識系列】 Service Workers
Service worker與Web workers相同,也都是一段運行在瀏覽器後台的腳本,提供一些不需要與頁面直接交互的功能(操作dom),主要處理網路相關的問題,可以攔截網路請求進行相對應的優化動作,我們把它想像成與伺服器之間的代理服務器可能會比較容易理解,當網路環境不佳時便回應快取資源,待網路
Thumbnail
2023/04/23
【Web微知識系列】 Service Workers
Service worker與Web workers相同,也都是一段運行在瀏覽器後台的腳本,提供一些不需要與頁面直接交互的功能(操作dom),主要處理網路相關的問題,可以攔截網路請求進行相對應的優化動作,我們把它想像成與伺服器之間的代理服務器可能會比較容易理解,當網路環境不佳時便回應快取資源,待網路
Thumbnail
2023/04/23
Cookieless時代趨勢來臨,與我們息息相關的隱私與行銷方式如何應對呢?
Cookie簡介與個人隱私議題 在談Cookieless之前我們先來了解什麼是Cookie,這裡的Cookie並不是餅乾的意思,而是為了讓人們在網路上通訊時,能夠創造更無縫的體驗,想像一下,假設我們在使用網站時,每切換一頁就要進行登入一次,我想大部分的人都已經抓狂並放棄使用的吧! 而Cookie的出
Thumbnail
2023/04/23
Cookieless時代趨勢來臨,與我們息息相關的隱私與行銷方式如何應對呢?
Cookie簡介與個人隱私議題 在談Cookieless之前我們先來了解什麼是Cookie,這裡的Cookie並不是餅乾的意思,而是為了讓人們在網路上通訊時,能夠創造更無縫的體驗,想像一下,假設我們在使用網站時,每切換一頁就要進行登入一次,我想大部分的人都已經抓狂並放棄使用的吧! 而Cookie的出
Thumbnail
看更多
你可能也想看
Thumbnail
avatar-avatar
釀電影,啜一口電影的美好。
《傳奇:帕拉贊諾夫的十段殘篇》:以流亡書寫帕拉贊諾夫的政治寓言
賽勒布倫尼科夫以流亡處境回望蘇聯電影導演帕拉贊諾夫的舞台作品,以十段寓言式殘篇,重新拼貼記憶、暴力與美學,並將審查、政治犯、戰爭陰影與「形式即政治」的劇場傳統推到台前。本文聚焦於《傳奇:帕拉贊諾夫的十段殘篇》的舞台美術、音樂與多重扮演策略,嘗試解析極權底下不可言說之事,將如何成為可被觀看的公共發聲。
#釀電影#釀評論#藝術評論
Thumbnail
avatar-avatar
釀電影,啜一口電影的美好。
《傳奇:帕拉贊諾夫的十段殘篇》:以流亡書寫帕拉贊諾夫的政治寓言
賽勒布倫尼科夫以流亡處境回望蘇聯電影導演帕拉贊諾夫的舞台作品,以十段寓言式殘篇,重新拼貼記憶、暴力與美學,並將審查、政治犯、戰爭陰影與「形式即政治」的劇場傳統推到台前。本文聚焦於《傳奇:帕拉贊諾夫的十段殘篇》的舞台美術、音樂與多重扮演策略,嘗試解析極權底下不可言說之事,將如何成為可被觀看的公共發聲。
#釀電影#釀評論#藝術評論
Thumbnail
avatar-avatar
趙鐸的沙龍
柏林劇團《三便士歌劇》:善讓人嚮往,惡卻更加迷人──布萊希特的疏離與慾望
柏林劇團在 2026 北藝嚴選,再次帶來由布萊希特改編的經典劇目《三便士歌劇》(The Threepenny Opera),導演巴里・柯斯基以舞台結構與舞台調度,重新向「疏離」進行提問。本文將從觀眾慾望作為戲劇內核,藉由沉浸與疏離的辯證,解析此作如何再次照見觀眾自身的位置。
#2026北藝嚴選#臺北表演藝術中心#北藝嚴選
Thumbnail
avatar-avatar
趙鐸的沙龍
柏林劇團《三便士歌劇》:善讓人嚮往,惡卻更加迷人──布萊希特的疏離與慾望
柏林劇團在 2026 北藝嚴選,再次帶來由布萊希特改編的經典劇目《三便士歌劇》(The Threepenny Opera),導演巴里・柯斯基以舞台結構與舞台調度,重新向「疏離」進行提問。本文將從觀眾慾望作為戲劇內核,藉由沉浸與疏離的辯證,解析此作如何再次照見觀眾自身的位置。
#2026北藝嚴選#臺北表演藝術中心#北藝嚴選
Thumbnail
avatar-avatar
花神沒有咖啡館的沙龍
《海妲.蓋柏樂》:晃晃跨幅町直球對決經典,解構現代女性的困頓與慾望
本文深入解析臺灣劇團「晃晃跨幅町」對易卜生經典劇作《海妲.蓋柏樂》的詮釋,從劇本歷史、聲響與舞臺設計,到演員的主體創作方法,探討此版本如何讓經典劇作在當代劇場語境下煥發新生,滿足現代觀眾的觀看慾望。
#2026北藝嚴選#北藝嚴選#臺北表演藝術中心
Thumbnail
avatar-avatar
花神沒有咖啡館的沙龍
《海妲.蓋柏樂》:晃晃跨幅町直球對決經典,解構現代女性的困頓與慾望
本文深入解析臺灣劇團「晃晃跨幅町」對易卜生經典劇作《海妲.蓋柏樂》的詮釋,從劇本歷史、聲響與舞臺設計,到演員的主體創作方法,探討此版本如何讓經典劇作在當代劇場語境下煥發新生,滿足現代觀眾的觀看慾望。
#2026北藝嚴選#北藝嚴選#臺北表演藝術中心
Thumbnail
avatar-avatar
涵柳的沙龍
《轉轉生 Re:INCARNATION》:從身體與服裝看見奈及利亞的重生
《轉轉生》為奈及利亞編舞家庫德斯.奧尼奎庫與 Q 舞團創作的當代舞蹈作品,融合舞蹈、音樂、時尚和視覺藝術,透過身體、服裝與群舞結構,回應殖民歷史、城市經驗與祖靈記憶的交錯。本文將從服裝設計、身體語彙與「輪迴」的「誕生—死亡—重生」結構出發,分析《轉轉生》如何以當代目光,形塑去殖民視角的奈及利亞歷史。
#2026北藝嚴選#北藝嚴選#臺北表演藝術中心
Thumbnail
avatar-avatar
涵柳的沙龍
《轉轉生 Re:INCARNATION》:從身體與服裝看見奈及利亞的重生
《轉轉生》為奈及利亞編舞家庫德斯.奧尼奎庫與 Q 舞團創作的當代舞蹈作品,融合舞蹈、音樂、時尚和視覺藝術,透過身體、服裝與群舞結構,回應殖民歷史、城市經驗與祖靈記憶的交錯。本文將從服裝設計、身體語彙與「輪迴」的「誕生—死亡—重生」結構出發,分析《轉轉生》如何以當代目光,形塑去殖民視角的奈及利亞歷史。
#2026北藝嚴選#北藝嚴選#臺北表演藝術中心
Thumbnail
avatar-avatar
Daniel 的沙龍
[NGINX] ModSecurity #2 安裝OWASP CRS 並 測試是否生效
OWASP( Open Web Application Security Project) 專案維護核心規則集 Core Rule Set 縮寫 CRS 能抗衡一般類別的漏洞攻擊手法 CRS 在ModSecurity 官網免費釋出 當然也有需付費的規則集 。
#owasp#nginx#web
Thumbnail
avatar-avatar
Daniel 的沙龍
[NGINX] ModSecurity #2 安裝OWASP CRS 並 測試是否生效
OWASP( Open Web Application Security Project) 專案維護核心規則集 Core Rule Set 縮寫 CRS 能抗衡一般類別的漏洞攻擊手法 CRS 在ModSecurity 官網免費釋出 當然也有需付費的規則集 。
#owasp#nginx#web
Thumbnail
avatar-avatar
christy tsang的沙龍
網站漏洞掃描對企業的重要性
在資訊性的時代,幾乎每個企業都有自己的網站,提供最大價值及免費的資訊吸引受眾及潛在客戶,從而提高曝光率及點擊率,有助將其轉換成銷量。若資訊安全的預防措施不足,容易受到網絡攻擊及內部安全問題。在這情況下更顯得網站漏洞掃描對企業的重要性,下文會為大家一一講解網站漏洞掃描。 為什麼企業需要網站漏洞掃描?
#Cybersecuritysolutions #Websitevulnerabilityscan #信息安全
Thumbnail
avatar-avatar
christy tsang的沙龍
網站漏洞掃描對企業的重要性
在資訊性的時代,幾乎每個企業都有自己的網站,提供最大價值及免費的資訊吸引受眾及潛在客戶,從而提高曝光率及點擊率,有助將其轉換成銷量。若資訊安全的預防措施不足,容易受到網絡攻擊及內部安全問題。在這情況下更顯得網站漏洞掃描對企業的重要性,下文會為大家一一講解網站漏洞掃描。 為什麼企業需要網站漏洞掃描?
#Cybersecuritysolutions #Websitevulnerabilityscan #信息安全
Thumbnail
avatar-avatar
阿Han的沙龍
關於Web的安全內容政策 - Content Security Policy (CSP)
文章最後將會提供一套CSP安全檢查工具,保護自身,避免踏入不安全地帶! 🔔還沒成為Potato會員的朋友點這裡加入哦,撰寫文章還能挖礦打造被動收入 🔔 為什麼制定安全政策這麼重要呢? 可以制定哪些規則呢? 這邊僅著重於概念的描述,因此列出幾個常見的來源白名單配置選項,至於完整選項請參考這裡。
#web
Thumbnail
avatar-avatar
阿Han的沙龍
關於Web的安全內容政策 - Content Security Policy (CSP)
文章最後將會提供一套CSP安全檢查工具,保護自身,避免踏入不安全地帶! 🔔還沒成為Potato會員的朋友點這裡加入哦,撰寫文章還能挖礦打造被動收入 🔔 為什麼制定安全政策這麼重要呢? 可以制定哪些規則呢? 這邊僅著重於概念的描述,因此列出幾個常見的來源白名單配置選項,至於完整選項請參考這裡。
#web
Thumbnail
avatar-avatar
阿Han的沙龍
Web世界中潛藏的危機 - 跨網站指令碼(XSS)
互聯網的時代中我們幾乎都離不開網路,那如果能夠對於Web具備基礎的知識,就能夠讓我們在使用網路的過程中提升風險意識,以減少被竊取、盜用的風險,進而保護個人資產,因此多一份知識在身上也就等於多了一份防身的武器,一天學一點,透過微習慣讓我們享受複利的效應。 攻擊的類型有哪些? 可能造成的危害 資源參考
#XSS#web
Thumbnail
avatar-avatar
阿Han的沙龍
Web世界中潛藏的危機 - 跨網站指令碼(XSS)
互聯網的時代中我們幾乎都離不開網路,那如果能夠對於Web具備基礎的知識,就能夠讓我們在使用網路的過程中提升風險意識,以減少被竊取、盜用的風險,進而保護個人資產,因此多一份知識在身上也就等於多了一份防身的武器,一天學一點,透過微習慣讓我們享受複利的效應。 攻擊的類型有哪些? 可能造成的危害 資源參考
#XSS#web
Thumbnail
avatar-avatar
阿Han的沙龍
你的資料如何被偷走? Web安全篇 - 跨站請求偽造(CSRF )
互聯網的時代中我們幾乎都離不開網路,那如果能夠對於Web具備基礎的知識,就能夠讓我們在使用網路的過程中提升風險意識,以減少被竊取、盜用的風險,進而保護個人資產,因此多一份知識在身上也就等於多了一份防身的武器,一天學一點,透過微習慣讓我們享受複利的效應。 CRSF攻擊示意圖 如何防範CSRF?
#web
Thumbnail
avatar-avatar
阿Han的沙龍
你的資料如何被偷走? Web安全篇 - 跨站請求偽造(CSRF )
互聯網的時代中我們幾乎都離不開網路,那如果能夠對於Web具備基礎的知識,就能夠讓我們在使用網路的過程中提升風險意識,以減少被竊取、盜用的風險,進而保護個人資產,因此多一份知識在身上也就等於多了一份防身的武器,一天學一點,透過微習慣讓我們享受複利的效應。 CRSF攻擊示意圖 如何防範CSRF?
#web
Thumbnail
avatar-avatar
阿Han的沙龍
Web世界的邦交國政策 — 跨來源資源共用(Cross-Origin Resource Sharing, CORS)
互聯網的時代中我們幾乎都離不開網路,那如果能夠對於Web具備基礎的知識,就能夠讓我們在使用網路的過程中提升風險意識,以減少被竊取、盜用的風險,進而保護個人資產,因此多一份知識在身上也就等於多了一份防身的武器,一天學一點,透過微小習慣的積累讓我們享受複利的效應。OO 如何運作? 📷
#CORS#web
Thumbnail
avatar-avatar
阿Han的沙龍
Web世界的邦交國政策 — 跨來源資源共用(Cross-Origin Resource Sharing, CORS)
互聯網的時代中我們幾乎都離不開網路,那如果能夠對於Web具備基礎的知識,就能夠讓我們在使用網路的過程中提升風險意識,以減少被竊取、盜用的風險,進而保護個人資產,因此多一份知識在身上也就等於多了一份防身的武器,一天學一點,透過微小習慣的積累讓我們享受複利的效應。OO 如何運作? 📷
#CORS#web
Thumbnail
avatar-avatar
阿Han的沙龍
關於Web的同源政策(Same Origin Policy)
互聯網的時代中我們幾乎都離不開網路,那如果能夠對於Web具備基礎的知識,就能夠讓我們在使用網路的過程中提升風險意識,以減少被竊取、盜用的風險,進而保護個人資產,因此多一份知識在身上也就等於多了一份防身的武器,一天學一點,透過微習慣讓我們享受複利的效應。 同源(Origin)主要由以下三個部分組成:
#web
Thumbnail
avatar-avatar
阿Han的沙龍
關於Web的同源政策(Same Origin Policy)
互聯網的時代中我們幾乎都離不開網路,那如果能夠對於Web具備基礎的知識,就能夠讓我們在使用網路的過程中提升風險意識,以減少被竊取、盜用的風險,進而保護個人資產,因此多一份知識在身上也就等於多了一份防身的武器,一天學一點,透過微習慣讓我們享受複利的效應。 同源(Origin)主要由以下三個部分組成:
#web
Thumbnail
avatar-avatar
Vic Lin的沙龍
CSRF攻擊與防禦
CSRF全名為 Cross Site Request Forgery( 跨站請求偽造)。
#CrossSiteRequestForgery#CSRF#XSRF
Thumbnail
avatar-avatar
Vic Lin的沙龍
CSRF攻擊與防禦
CSRF全名為 Cross Site Request Forgery( 跨站請求偽造)。
#CrossSiteRequestForgery#CSRF#XSRF
追蹤感興趣的內容從 Google News 追蹤更多 vocus 的最新精選內容追蹤 Google News