• 类别：linux
• 日期：2020-05-02
• 浏览：2670
• 评论：0

    CSP 指的是内容安全策略，为了缓解很大一部分潜在的跨站脚本问题，浏览器的扩展程序系统引入了内容安全策略（CSP）的一般概念。这将引入一些相当严格的策略，会使扩展程序在默认情况下更加安全，开发者可以创建并强制应用一些规则，管理网站允许加载的内容。

    根据网上提供的参考，修改的.. 确保标点符号是有效的，设置的时候被标点符号坑惨了！

#Content-Security-Policy: 通过指定允许加载哪些资源的形式，来防止跨站脚本注入。
#Access-Control-Allow-Origin: 告诉浏览器，允许哪些其他站点的前端 JavaScript 代码对页面发出请求。
#X-XSS-Protection: 指示浏览器停止执行跨站脚本攻击检测。
#X-Content-Type-Options: 确保浏览器遵守应用程序设置的 MIME 类型。
#Strict-Transport-Security: 只能通过 HTTPS 访问网站。

    Apache例子设置如下：

<IfModule mod_headers.c> 	
#Header set Content-Security-Policy: default-src'self';img-src'self'https://www.onx8.com;object-src'none';script-src'self';style-src'self';frame-ancestors'self';base-uri'self';form-action'self';
#Header set Access-Control-Allow-Origin: https://www.onx8.com
Header set X-XSS-Protection: 1;mode=block
Header set X-Content-Type-Options: nosniff
Header set Strict-Transport-Security: max-age=31536000;includeSubDomains
</IfModule>

    Nginx例子设置如下：

    #add_header Content-Security-Policy "default-src 'self';img-src 'self' https://www.onx8.com;object-src 'none';script-src 'self';style-src 'self';frame-ancestors 'self';base-uri 'self';form-action 'self'";
    #add_header Access-Control-Allow-Origin: https://www.onx8.com;
    add_header Strict-Transport-Security "max-age=31536000; includeSubdomains; preload";
    add_header X-XSS-Protection "1; mode=block";
    add_header X-Frame-Options deny;
    add_header X-Content-Type-Options nosniff;

    设置完成之后可以通过MySSL检测当前网站的安全等级。