前端安全 | HZFE - 剑指前端 Offer
Opened this issue · 4 comments
utterances-bot commented
wangyuan0108 commented
常见的有图片 URL,超链接,Form 提交等
会不会用顿号合适些,比如
常见的有图片 URL、超链接、Form 提交等
pzytydy commented
CSP 本质上就是建立白名单,开发者明确告诉浏览器哪些外部资源可以加载和执行。我们只需要配置规则,如何拦截是由浏览器自己实现的。我们可以通过这种方式来尽量减少 XSS 攻击。
通常可以通过两种方式来开启 CSP:
- 设置 HTTP Header 中的
Content-Security-Policy - 设置
meta标签的方式<meta http-equiv="Content-Security-Policy">
这里以设置 HTTP Header 来举例
-
只允许加载本站资源
Content-Security-Policy: default-src ‘self’ -
只允许加载 HTTPS 协议图片
Content-Security-Policy: img-src https://* -
允许加载任何来源框架
Content-Security-Policy: child-src 'none'
还有一个点击劫持 大佬有空加上
szqingt commented
CSRF的防范 SameSite cookies也可以加上吧
NightCatSama commented
@szqingt 感谢反馈,后续加上哈