HTTP中的CSP (Content Security Policy)是一种安全
▥前端
𝄐 0
HTTP中的CSP (Content Security Policy)是一种安全机制,可以帮助防止跨站点脚本攻击(XSS)、点击劫持等攻击。其中的referrer是一个请求头,用于指示浏览器在向目标服务器发送请求时,携带了哪个页面的信息。
CSP通过限制页面可以从哪些源加载资源来增强安全性,而referrer可以帮助服务器验证发起请求的页面是否合法。例如,在CSP报头中设置了referrer policy为strict-origin-when-cross-origin,则表示只有当请求源与目标源相同时才会携带referrer。此时,如果攻击者试图通过其他域名访问该资源,则不会携带referrer信息。
以下是一个使用CSP的示例:
Content-Security-Policy: default-src 'self'; script-src 'self' example.com
Referrer-Policy: strict-origin-when-cross-origin
上面的CSP报头将允许页面仅从自身加载所有资源,但允许从example.com域名加载脚本。同时,referrer-policy设置为strict-origin-when-cross-origin,表示仅在同源请求中包括referrer信息。
CSP通过限制页面可以从哪些源加载资源来增强安全性,而referrer可以帮助服务器验证发起请求的页面是否合法。例如,在CSP报头中设置了referrer policy为strict-origin-when-cross-origin,则表示只有当请求源与目标源相同时才会携带referrer。此时,如果攻击者试图通过其他域名访问该资源,则不会携带referrer信息。
以下是一个使用CSP的示例:
Content-Security-Policy: default-src 'self'; script-src 'self' example.com
Referrer-Policy: strict-origin-when-cross-origin
上面的CSP报头将允许页面仅从自身加载所有资源,但允许从example.com域名加载脚本。同时,referrer-policy设置为strict-origin-when-cross-origin,表示仅在同源请求中包括referrer信息。
本文地址:
/show-278220.html
版权声明:除非特别标注原创,其它均来自互联网,转载时请以链接形式注明文章出处。