V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
kfll
V2EX  ›  程序员

用 CSP 来降低网站被运营商劫持后的影响

  •  1
     
  •   kfll · 2014-09-19 20:27:23 +08:00 · 3514 次点击
    这是一个创建于 3707 天前的主题,其中的信息可能已经有所发展或是发生改变。

    面向对象:开发者

    CSP 能够阻止你的页面中一些内容被加载或执行

    介绍可以看这: http://mdn.io/csp

    规范看这: http://www.w3.org/TR/CSP/

    一个例子(HTTP Response Header):

    Content-Security-Policy: default-src *; script-src 'self' 'unsafe-inline' 'unsafe-eval' *.v2ex.com www.google-analytics.com; frame-src 'self'  gist.github.com www.youtube.com player.youku.com; font-src 'self' *.v2ex.com fonts.gstatic.com; connect-src 'self' *.v2ex.com
    

    default-src 是 fallback,中间的很好理解,connect-src 是 XMLHttpRequest.open 和 websocket 之类;

    规范不长,可以花点时间看看。

    还能防一些 XSS 生效;

    如果禁掉 'unsafe-inline' 的话,大概还能防 ABP 之类。

    如果你自己写代理上网的话,大概还能用它来阻止广告、ga 之类

    5 条回复    2014-09-20 02:45:55 +08:00
    xiaody
        1
    xiaody  
       2014-09-19 20:39:07 +08:00
    zhihu已经在用了
    DreaMQ
        2
    DreaMQ  
       2014-09-19 21:14:18 +08:00
    HTTPS才是王道
    jakwings
        3
    jakwings  
       2014-09-19 22:15:45 +08:00   ❤️ 1
    HTTPS 才是王道。楼主会发现写规则好麻烦,最终只为论坛加点防御力。
    还有 X-Iframe-Options 禁止网页被镶嵌。
    jakwings
        4
    jakwings  
       2014-09-19 22:18:25 +08:00
    @jakwings 更正:X-Frame-Options。
    whywhywhy
        5
    whywhywhy  
       2014-09-20 02:45:55 +08:00
    “被运营商劫持后的影响”

    嗯,以后运营商不劫持html页面了,劫持js文件。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1010 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 24ms · UTC 20:42 · PVG 04:42 · LAX 12:42 · JFK 15:42
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.