content security policy
内容安全策略
内容安全策略 （ Content Security Policy ）： CSP包含一系列工具可以帮助组织不同类型的攻击，例如防止XSS攻击、点击劫持等；此外，有一个很重要的特性是，一旦安全规则被...
基于18个网页-
内容安全政策
内容安全政策 (Content Security Policy) 是甚麽？
基于11个网页-
容安全协议
内容安全协议(CSP) Firefox 4 中的内容安全协议(Content Security Policy)为网站提供一种 机制用来告诉浏览器哪些内容是合法的，并以此来关闭网站间的脚本攻击，浏 览器可以忽略所有不在此网站中的内容。
基于3个网页-
内容安全策略标头
Content Security Policy
Content Security Policy (CSP) is a computer security concept, to prevent cross-site scripting (XSS) and related attacks. It is a Candidate Recommendation of the W3C Working group on Web Application Security.
以上来源于:
A Content Audit option that determines whether security policy calculation should be done in FM.
一个内容审计选项，用来决定安全性策略计算是否在 FM 内完成。
Access control mechanism is an increasingly important content in security policy of distributed workflow management system.
访问控制机制是分布式工作流系统安全策略中的核心内容。
Content restriction on national security and other public policy grounds, which greatly affect business in the field of information services, such as the media and entertainment
国家安全和其他公共政策方面的内容限制，严重影响了信息服务领域的商业发展，比如娱乐传媒市场。
"Web content policy should be an extension of your standard information security policy, " he says.
The Center for Security Policy strongly urges that the content of the ongoing discussions between Moscow and all Western central banks be made public immediately.
$firstVoiceSent
- 来自原声例句
请问您想要如何调整此模块？
感谢您的反馈，我们会尽快进行适当修改！
请问您想要如何调整此模块？
感谢您的反馈，我们会尽快进行适当修改！【未解决】C#中WebBrowser中，如何（用程序模拟点击确定以）取消Security Alert的弹出窗口
在C#模拟登陆12306网站的时候，遇到调用webbrowser打开地址：
会出现安全警告的弹出窗口：
Revocation information for the security certificate for this site is not available. Do you want to proceed?
上述两次弹出窗口，都点击确定后，结果还会弹出另外一个窗口：
然后，才能正常显示界面：
希望可以通过设置，不让这个security alert的窗口弹出，或通过程序代码模拟点击yes，以便不再麻烦用户点击。
【解决过程】
1.参考：，去设置了：
wbsBuyTicket.ScriptErrorsSuppressed =
结果是窗口1和2，都还是继续会弹出，只能避免掉窗口3的弹出。
所以只是解决了部分的问题。
2.参考：，添加了：
public static bool ValidateServerCertificate(object sender, X509Certificate certificate, X509Chain chain, SslPolicyErrors sslPolicyErrors)
ServicePointManager.ServerCertificateValidationCallback = new RemoteCertificateValidationCallback(ValidateServerCertificate);
但是还是没用，上述窗口1和2，仍会弹出。
3.网上找了一堆，还是没人给出有效解决办法。不过也是有人想到了，通过写程序，找到弹出的窗口，然后用程序去模拟点击yes。此方法，貌似很复杂，还是能不用则不用吧。
4.参考了：，去添加对应代码：
private void wbsBuyTicket_Navigated(object sender, WebBrowserNavigatedEventArgs e)
if (wbsBuyTicket.Document != null)
// kills messagebox functionality by disabling the &window.alert()& function
object window = wbsBuyTicket.Document.Window.DomW
if (window != null)
Type windowType = window.GetType();
BindingFlags flags = BindingFlags.InvokeMethod | BindingFlags.I
string[] args = { &window.alert=function() {};&, &JScript& };
windowType.InvokeMember(&[DispID=1165]&, flags, null, window, args);
但是还是没用，因为在navigate之前，就弹出了窗口，所以此函数是在Navigated事件中处理的，所以没用。
也懒得再去试试其他事件，比如Navigating等，因为好像也是要根据程序代码去处理对应的特殊弹出窗口的代码的，此处没功夫去分析其中的代码。所以放弃此法。
5.看到这里：
但是看不太懂，也觉得很复杂，懒得弄了。
共享此文章：
免费的格式化Javascript源码的网站
查询Unicode字符，且还带Oct,Decimal,Hex,HTML Entity
HTML和Javascript都支持，很好用。当前位置： && 知识详情
【技术分享】关于HTTP Security Headers，你需要了解的一切
阅读：12162次
翻译：预估稿费：200RMB投稿方式：发送邮件至，或登陆在线投稿0x00&前言28年前，一些物理学家需要一种简单的分享实验数据的方法，因此网络诞生了。这被普遍认为是一个好的进步。不幸的是，物理学家接触的一切——从三角学到强大的核能，最终都被武器化了。超文本传输协议协议也是如此。本文解释了什么是安全头和怎么在Rails、Django、Express.js、Go、Nginx和Apache中实现这些头。请注意一些头最好是在你的HTTP服务器中配置，另外一些应该在应用层中设置。在这里由你自己权衡。你能使用Mozilla's&来测试你的实现。0x01 HTTP Security Headers内容X-XSS-ProtectionContent Security PolicyHTTP Strict Transport Security(HSTS)HTTP Public Key Pinning(HPKP)X-Frame-OptionsX-Content-Type-OptionsReferer-PolicyCookie Options0x02 X-XSS-ProtectionX-XSS-Protection:&0;
X-XSS-Protection:&1;
X-XSS-Protection:&1;&mode=block为什么？跨站脚本通常的简写是XSS，是一种攻击手段，攻击者使一个页面加载一些恶意的javascript。X-XSS-Protection是Chrome和IE中的一个特性，被设计用来防御反射型XSS攻击——攻击者将恶意的payload作为请求的一部分发送。X-XSS-Protection：0&关闭。X-XSS-Protection：1&过滤来自请求的脚本，但是还是会交给页面。X-XSS-Protection：1；mode=block&触发时，将阻止整个页面的呈现。是否该使用它？是的。需要设置X-XSS-Protection：1；mode=block&。但是有时过滤有问题的脚本是有问题的，查看了解为什么。怎么做？了解更多0x03 Content Security PolicyContent-Security-Policy:&&policy&为什么？内容安全策略可以认为是X-XSS-Protection的高级版本。尽管X-XSS-Protection能阻止来自请求的脚本，但是它不能阻止一些XSS攻击，如在你服务器上面存储恶意脚本或者使用恶意脚本加载额外的资源。CSP提供了一种语言，来定义浏览器能加载来自哪的资源。你能以非常详细的方式来列出原始的脚本、图片、字体和样式等的白名单列表。你还能使用哈希和特征来比较任何加载的资源。是否该使用它？是的。虽然它不能阻止所有的XSS攻击，但是它是缓解XSS攻击的一个重要的措施，并且是深度防御的重要的一个环节。它可能很难实现。如果你是一个勇敢的读者并继续阅读，校验返回的头，你将会看到我们并没有实现CSP。有一些rails开发插件可以使用，避免了自己实现CSP，但也能有实际的安全作用。怎么做？写一个CSP策略可能是个挑战。参考，是你能使用的所有指令的列表。从开始比较好。了解更多0x04 HTTP Strict Transport Security(HSTS)Strict-Transport-Security:&max-age=&expire-time&
Strict-Transport-Security:&max-age=&expire-time&;&includeSubDomains
Strict-Transport-Security:&max-age=&expire-time&;&preload为什么？当我们想与一些人安全通信时，我们面对了两个问题。第一个问题是隐私：我们想确保我们发送的消息只能接收者看到。另一个问题是认证：我们如何知道接收者是他们自己说的那个人？HTTPS使用加密解决了第一个问题，但是还有个认证问题（稍后详述，参见Public Key Pinning）。HSTS头解决了元问题：你如何知道与你通信的人是否支持加密？HSTS缓解了一种成为的攻击。假设你使用的是恶意攻击者控制的WIFI路由器提供的网络。攻击者可以禁用你和你访问的网站之间的加密机制。即使你访问的网站只能通过HTTPS访问，攻击者还是可以使用中间人攻击HTTP流量，来使得网站看起来工作在未加密的HTTP上。不需要SSL证书，只要禁用加密就可以。通过让你的浏览器知道它必须总是使用加密访问网站，Strict-Transport-Security头解决了这个问题，除非你的浏览器看到了HSTS头并且没有过期，否则将无法访问未加密的网站，并且如果不经过HTTPS则会出错。是否应该使用它？是的。你的应用只能通过HTTPS访问，对吗？尝试通过老的HTTP访问将重定向到安全站点，对吗？（提示：如果你想避免商业证书颁发机构的证书可以使用。）HSTS头的一个缺点是，它允许使用一种来创建supercookies来作为用户的指纹。作为一个网站的运营者，你可能已经有些方式跟踪了你的用户，但是尝试只使用HSTS是更好的方式并且不使用supercookies。怎么做？有两个选项：includeSubDomains——HSTS适用于子域名preload——谷歌维护了一个服务，在浏览器中硬编码你的网站为HTTPS访问。通过这种方式，一个用户甚至不得不访问你的网站：他们的浏览器已经知道了它应该拒绝未加密的连接。顺便说一句，选择列表是很困难的，因此最好仅在你知道你的所有的子域名都永久支持HTTPS的情况下才开启它。了解更多0x05 HTTP Public Key Pinning(HPKP)Public-Key-Pins:&pin-sha256=&base64==&;&max-age=&expireTime&;
Public-Key-Pins:&pin-sha256=&base64==&;&max-age=&expireTime&;&includeSubDomains
Public-Key-Pins:&pin-sha256=&base64==&;&max-age=&expireTime&;&report-uri=&reportURI&为什么？上面描述的HSTS头是被设计来确保所有的网站连接都是加密的。然而，它没有指出使用的关键点。网站的信任是基于CA模型的。你的浏览器和操作系统绑定一些受信任的证书颁发机构的公钥，这些机构通常是专门的公司或者国家地区。当一个CA向你的域名颁发证书后，意味着信任这个CA的任何人都将自动信任使用这个证书加密的SSL流量。这些CA负责验证你拥有的域（可以是发送邮件、请求你托管文件或调查你的公司）。两个CA给两个不同的人颁发同一个域名的证书，浏览器将信任这两个CA。这就导致了一个问题，尤其是因为CAs。这允许攻击者使用MiTM攻击他们想攻击的域名，即使那个域名使用了SSL和HSTS，也是一样。HPKP头试着缓解这个问题。这个头让你绑定一个证书。当一个浏览器第一次看见这个头，它将保存这个证书。当每个请求达到max-age，除非从服务器发送的证书链中至少有一个指纹记录，否则浏览器将失败。和上述的HSTS很像，HPKP头也有隐私影响。这些在它的中有描述。是否该使用它？可能不需要。HPKP是一个非常非常锋利的尖刀。考虑到这个：如果你绑定了错误的证书，或者你丢失了密钥，或者某些事出错了，你将阻止你的用户访问你的网站。你能做的只是等待绑定过期。举了个关于它的例子，并且包含了一种有趣的攻击方式，使用HPKP勒索他们的受害者。一个可选项是使用Public-Key-Pins-Report-Only头，这将在出错时报告出来，但是不会锁住用户。这至少让你知道用户被假证书攻击了。怎么做？两个选项是：includeSubDomains——HPKP适用于子域名report-uri——不可靠的行为将被报告你不得不为你绑定的密钥生成一个base64加密的指纹，并且你不得不使用一个备份的密钥。怎么做，请参考这个。了解更多0x06 X-Frame-OptionsX-Frame-Options:&DENY
X-Frame-Options:&SAMEORIGIN
X-Frame-Options:&ALLOW-FROM&/为什么？在我们开始给漏洞命名前，我们先给黑客技术命名。“Clickjacking”是这些名字中的一个。想法如下：你创建一个看不见的iframe，将它放在焦点中并引导用户输入。作为一个攻击者，你能欺骗人们玩一个基于浏览器的游戏，然而他们点击的是隐藏的显示twitter的iframe，迫使他们非自愿转推。它听起来很蠢，但是它是一个有效的攻击。是否应该使用它？是的。如果你的应用是一个漂亮的雪花。你想别人破环它吗？怎么做？X-Frame-Options有3种模式：DENY——没有人能够在iframe中放入页面SAMEORIGIN——该页面只能由同一来源的某个iframe显示。ALLOW-FROM——指定一个特定的可放入iframe的URL要记住的一件事是你能按你想要的来增加iframes的深度，并且在这种情况下，SAMEORIGIN和ALLOW-FROM不被指定。也就是说如果你有一个3层的iframe，并且最里层的iframe有SAMEORIGIN，我们关心的是包裹它的iframe的来源还是最顶层的iframe？了解更多0x07 X-Content-Type-OptionsX-Content-Type-Options:&为什么？这个头解决了被称为“MIME嗅探”的问题，它是一个浏览器的“特性”。理论上，每次你的服务器响应一个请求，它应该是设置了一个Content-Type头以便告诉浏览器它是在获取HTML、gif或者flash等。不幸的是，网络总是会被打破，从来没有真正遵循的东西；许多人不会设置正确的Content-Type头。结果会导致浏览器判断他们是否真的有用并且试图通过检查内容本身且忽略指定的类型来推断内容类型。如果它看起来像是gif，则展示一个gif，即使内容类型是text/html。同样，我们看似得到了一些HTML，即使服务器说他是个gif，我们依然应该展示它。当你运行一个图片分享站点，并且用户能上传包含javascript的看起来像HTML的图片，你将遭受到存储型XSS攻击。X-Content-Type-Options头的存在是告诉浏览器设置被告诉的类型。是否该使用它？是的，只是确保正确设置内容类型。怎么做？了解更多0x08 Referrer-Policy&Referrer-Policy:&&no-referrer&
&&&&Referrer-Policy:&&no-referrer-when-downgrade&&
&&&&Referrer-Policy:&&origin&&
&&&&Referrer-Policy:&&origin-when-cross-origin&
&&&&Referrer-Policy:&&same-origin&&
&&&&Referrer-Policy:&&strict-origin&&
&&&&Referrer-Policy:&&strict-origin-when-cross-origin&&
&&&&Referrer-Policy:&&unsafe-url&为什么？Referer头对于分析非常有用，但是对于隐私是件坏事。有时网站会苏醒并且认为一直发送它不是个好主意。Referrer-Policy头在浏览器设置Referer头时可以指定。是否应该使用它？由你自己决定，但是它可能是个好东西。如果你不关心你用户的隐私，可以考虑它作为分析的一种好的方法。设置Referrer-Policy：“no-referrer”怎么做？了解更多0x09 Cookie OptionsSet-Cookie:&&key&=&value&;&Expires=&expiryDate&;&S&HttpO&SameSite=strict为什么？这不是个安全的头，但是有3个不同的选项你应该注意：Cookies标记为Secure将只能通过HTTPS提供服务。这阻止了一些人在MiTM攻击中读取cookies，它可以强制浏览器访问一个指定的网页。HttpOnly是一个误称，并且和HTTPS无关。Cookies标记为HttpOnly将阻止在javascript中访问。因此如果有XSS缺陷，攻击者不能立即偷到cookies。SameSite帮助防御CSRF攻击。这种攻击是用户可能在访问不同的网站，无意中欺骗他们对你的网站发出请求，例如，用于GET请求的图片，或者使用javascript提交POST请求，通常使用CSRF令牌来防御这种攻击。Cookie被标记为SamSite将不会发送到不同的站点。它有两种模式，lax和strict。Lax模式允许cookie作为GET请求的顶层内容被发送（例如你点击一个链接）。Strict不发送任何第三方的cookies。是否应该使用它？绝对应该设置Secure和HttpOnly。不幸的是，SameSite cookies只在Chrome和Opera中提供，因此现在可以忽略他们。怎么做？了解更多
本文由 安全客 翻译，转载请注明“转自安全客”，并附上链接。
参与讨论，请先
感谢翻译，虽说不上信达雅，但是大致能明白一些
安全播报APP
Copyright & 360网络攻防实验室 All Rights Reserved 京ICP证080047号[京ICP备号-6]Content Security Policy 入门教程 - 阮一峰的网络日志
Content Security Policy 入门教程
跨域脚本攻击
是最常见、危害最大的网页安全漏洞。
为了防止它们，要采取很多编程措施，非常麻烦。很多人提出，能不能根本上解决问题，浏览器自动禁止外部注入恶意脚本？
这就是"网页安全政策"（Content Security Policy，缩写 CSP）的来历。本文详细介绍如何使用 CSP 防止 XSS 攻击。
CSP 的实质就是白名单制度，开发者明确告诉客户端，哪些外部资源可以加载和执行，等同于提供白名单。它的实现和执行全部由浏览器完成，开发者只需提供配置。
CSP 大大增强了网页的安全性。攻击者即使发现了漏洞，也没法注入脚本，除非还控制了一台列入了白名单的可信主机。
两种方法可以启用 CSP。一种是通过 HTTP 头信息的Content-Security-Policy的字段。
Content-Security-Policy: script-src 'self'; object-src 'none';
style-src cdn.example.org third-party. child-src https:
另一种是通过网页的&meta&标签。
&meta http-equiv="Content-Security-Policy" content="script-src 'self'; object-src 'none'; style-src cdn.example.org third-party. child-src https:">
上面代码中，CSP 做了如下配置。
脚本：只信任当前域名
&object&标签：不信任任何URL，即不加载任何资源
样式表：只信任cdn.example.org和third-party.org
框架（frame）：必须使用HTTPS协议加载
其他资源：没有限制
启用后，不符合 CSP 的外部资源就会被阻止加载。
Chrome 的报错信息。
Firefox 的报错信息。
二、限制选项
CSP 提供了很多限制选项，涉及安全的各个方面。
2.1 资源加载限制
以下选项限制各类资源的加载。
script-src：外部脚本
style-src：样式表
img-src：图像
media-src：媒体文件（音频和视频）
font-src：字体文件
object-src：插件（比如 Flash）
child-src：框架
frame-ancestors：嵌入的外部资源（比如&frame>、&iframe>、&embed>和&applet>）
connect-src：HTTP 连接（通过 XHR、WebSockets、EventSource等）
worker-src：worker脚本
manifest-src：manifest 文件
2.2 default-src
default-src用来设置上面各个选项的默认值。
Content-Security-Policy: default-src 'self'
上面代码限制所有的外部资源，都只能从当前域名加载。
如果同时设置某个单项限制（比如font-src）和default-src，前者会覆盖后者，即字体文件会采用font-src的值，其他资源依然采用default-src的值。
2.3 URL 限制
有时，网页会跟其他 URL 发生联系，这时也可以加以限制。
frame-ancestors：限制嵌入框架的网页
base-uri：限制&base#href&
form-action：限制&form#action&
2.4 其他限制
其他一些安全相关的功能，也放在了 CSP 里面。
block-all-mixed-content：HTTPS 网页不得加载 HTTP 资源（浏览器已经默认开启）
upgrade-insecure-requests：自动将网页上所有加载外部资源的 HTTP 链接换成 HTTPS 协议
plugin-types：限制可以使用的插件格式
sandbox：浏览器行为的限制，比如不能有弹出窗口等。
2.5 report-uri
有时，我们不仅希望防止 XSS，还希望记录此类行为。report-uri就用来告诉浏览器，应该把注入行为报告给哪个网址。
Content-Security-Policy: default-src 'self'; ...; report-uri /my_amazing_csp_report_
上面代码指定，将注入行为报告给/my_amazing_csp_report_parser这个 URL。
浏览器会使用POST方法，发送一个JSON对象，下面是一个例子。
"csp-report": {
"document-uri": "http://example.org/page.html",
"referrer": "/",
"blocked-uri": "/evil.js",
"violated-directive": "script-src 'self' ",
"original-policy": "script-src 'self' ; report-uri http://example.org/my_amazing_csp_report_parser"
三、Content-Security-Policy-Report-Only
除了Content-Security-Policy，还有一个Content-Security-Policy-Report-Only字段，表示不执行限制选项，只是记录违反限制的行为。
它必须与report-uri选项配合使用。
Content-Security-Policy-Report-Only: default-src 'self'; ...; report-uri /my_amazing_csp_report_
四、选项值
每个限制选项可以设置以下几种值，这些值就构成了白名单。
主机名：example.org，:443
路径名：example.org/resources/js/
通配符：*.example.org，*://*.:*（表示任意协议、任意子域名、任意端口）
协议名：https:、data:
关键字'self'：当前域名，需要加引号
关键字'none'：禁止加载任何外部资源，需要加引号
多个值也可以并列，用空格分隔。
Content-Security-Policy: script-src 'self'
如果同一个限制选项使用多次，只有第一次会生效。
# 错误的写法
script- script-src
# 正确的写法
script-src
如果不设置某个限制选项，就是默认允许任何值。
五、script-src 的特殊值
除了常规值，script-src还可以设置一些特殊值。注意，下面这些值都必须放在单引号里面。
'unsafe-inline'：允许执行页面内嵌的&script&标签和事件监听函数
unsafe-eval：允许将字符串当作代码执行，比如使用eval、setTimeout、setInterval和Function等函数。
nonce值：每次HTTP回应给出一个授权token，页面内嵌脚本必须有这个token，才会执行
hash值：列出允许执行的脚本代码的Hash值，页面内嵌脚本的哈希值只有吻合的情况下，才能执行。
nonce值的例子如下，服务器发送网页的时候，告诉浏览器一个随机生成的token。
Content-Security-Policy: script-src 'nonce-EDNnf03nceIOfn39fn3e9h3sdfa'
页面内嵌脚本，必须有这个token才能执行。
&script nonce=EDNnf03nceIOfn39fn3e9h3sdfa>
// some code
hash值的例子如下，服务器给出一个允许执行的代码的hash值。
Content-Security-Policy: script-src 'sha256-qznLcsROx4GACP2dm0UCKCzCG-HiZ1guq6ZZDob_Tng='
下面的代码就会允许执行，因为hash值相符。
&script>alert('Hello, world.');&/script>
注意，计算hash值的时候，&script>标签不算在内。
除了script-src选项，nonce值和hash值还可以用在style-src选项，控制页面内嵌的样式表。
六、注意点
（1）script-src和object-src是必设的，除非设置了default-src。
因为攻击者只要能注入脚本，其他限制都可以规避。而object-src必设是因为 Flash 里面可以执行外部脚本。
（2）script-src不能使用unsafe-inline关键字（除非伴随一个nonce值），也不能允许设置data:URL。
下面是两个恶意攻击的例子。
&img src="x" onerror="evil()">
&script src="data:text/javascript,evil()">&/script>
（3）必须特别注意 JSONP 的回调函数。
src="/path/jsonp?callback=alert(document.domain)//">
上面的代码中，虽然加载的脚本来自当前域名，但是通过改写回调函数，攻击者依然可以执行恶意代码。
七、参考链接
, by Lukas Weichselbaum
, by Mike West
以前，网页开发有一个原则，叫做"关注点分离"（separation of concerns）。
全球最大的 IT 咨询公司高德纳（Gartner），有一个"技术热门度曲线"模型（Gartner Hype Cycle）。
你可能听说过函数式编程（Functional programming），甚至已经使用了一段时间。
上周，《中文技术文档写作规范》加入了文件的命名规则。