云打包技术文档

云打包技术文档是帮助客户更快、更好、更高效的使用云打包产品。云打包开发中心将一如既往秉着一颗开放的心态给开发者提供更多的帮助和巨大的支持,与开发者一起共同创造更加美好的移动互联网生态圈!

网站配置白名单,防止联通劫持、cdn劫持

浏览次数:

CSP 全称为 Content Security Policy,即内容安全策略。主要以白名单的形式配置可信任的内容来源,在网页中,能够使白名单中的内容正常执行(包含 JS,CSS,Image 等等),而非白名单的内容无法正常执行,从而减少跨站脚本攻击(XSS),当然,也能够减少运营商劫持的内容注入攻击。

使用方式一:
Meta标签

在 HTML 的 Head 中添加如下 Meta 标签,将在符合 CSP 标准的浏览器中使非同源的 script 不被加载执行。不支持 CSP 的浏览器将自动会忽略 CSP 的信息,不会有什么影响。

<meta http-equiv="Content-Security-Policy" content="default-src 'unsafe-inline' 'unsafe-eval' 'self'  *.abc.com *.bcd.com;report-uri /error/csp.php" />

使用方式二:
Http头部增加配置

Content-Security-Policy:
default-src 'unsafe-inline' 'unsafe-eval' 'self'  *.abc.com *.bcd.com;report-uri /error/csp.php 

说明:白名单中,'self' 代表本域,其他多个域名中间要有空格隔开,其中 /error/csp.php,为接收劫持拦截信息的地址,report-uri /error/csp.php  可以去掉,即不接收拦截数据

更多参数配置信息请参考:CSP策略指令


 


联系我们