CSP瀏覽器安全策略備忘

 挺久之前過(guò)了一遍CSP的安全策略，很多人把它喻為XSS***的終結(jié)者，因?yàn)檫@種策略不再像傳統(tǒng)只靠各種正則和特征匹配來(lái)識(shí)別跨站***Payload，而是直接從協(xié)議層把一些存在安全隱患的用法默認(rèn)給干掉了，把同源同域更發(fā)揮到了極致。之前把一些內(nèi)容整理到了txt里，發(fā)在這里備忘一下吧:)

1)CSP策略在默認(rèn)的情況下是不允許使用data URIs資源的,如果要使用，那么需要顯示的指定,比如:img-src 'self' data:

2)通過(guò)CRLF相應(yīng)頭分裂注入來(lái)BypassCSP需要將新的相應(yīng)頭插入到原來(lái)的CSP下面，在處理相同名字的Http頭時(shí)候，少數(shù)瀏覽器是根據(jù)第一次出現(xiàn)的來(lái)設(shè)置，大部分則是根據(jù)最后一次出現(xiàn)的同名Http頭來(lái)設(shè)置。兩次

3)script-src：在處理腳本資源的時(shí)候設(shè)置"unsafe-inline"可以阻止內(nèi)聯(lián)Js代碼的執(zhí)行。使用unsafe-eval開關(guān)可以禁止eval,setTimeout,setInterval函數(shù)的執(zhí)行。

4)object-src：控制embed,code,archive applet等對(duì)象。

5)style-src：會(huì)控制樣式表@import和rel時(shí)所引入的URI資源，設(shè)置unsafe-inline規(guī)則可以是瀏覽器拒絕解析內(nèi)部樣式和內(nèi)聯(lián)樣式定義。并不會(huì)阻止鏈入外部樣式表。

6)img-src：可以控制圖片資源的連接，包括img標(biāo)簽的src屬性，以及CSS3中的url()和p_w_picpath()方法，以及l(fā)ink標(biāo)簽中的href屬性(當(dāng)rel設(shè)置成與圖像相關(guān)的值，比如HTML支持的icon)

7)media-src:控制媒體類型的外部鏈入資源，如video, audio, source, 和track標(biāo)簽的src屬性。

8)frame-src:控制內(nèi)嵌框架包含的外部頁(yè)面連接：iframe or a frame。

9)font-src：控制CSS中的@font-face

10)connect-src：控制XMLHttpRequest中的open()，WebSocket，EventSource

11)inline script和eval類型函數(shù)(包括eval、setInterval、setTimeout和new Function())是不被執(zhí)行的。另外data URIs也是默認(rèn)不允許使用的，XBL,只允許通過(guò)chrome:和resource:形式uri請(qǐng)求的XBL,其它的比如在CSS中通過(guò)-moz-binding來(lái)指定的XBL則不允許被執(zhí)行。