前端

## 前言

公司部门安全合规改造计划，要求所有的Web站点统一添加CSP规则。对于CSP机制我只是之前在应付面试的时候背过相关的概念，并没有真正在项目中实践过。所以希望借助本次改造任务好好理解并实践CSP机制。

## 什么是CSP

CSP的全称是 `Content Security Policy`，翻译成中文就是 `内容安全策略`。CSP是一个计算机安全标准，通过定义允许在置顶网络应用中加载的来源类型，以保护网页不受跨站站点脚本XSS和数据注入攻击等安全攻击。

它的基本工作原理其实就是白名单机制，CSP 通过告诉浏览器一系列规则，严格规定页面中哪些资源允许有哪些来源，不在指定范围内的通通拒绝。

## CSP的作用

1. 限制了那些域的资源可以加载并且执行；
2. 阻止内联脚本和页面上的事件处理；
3. 控制静态资源的加载；
4. 记录策略违规报告

## 启用CSP机制

### 一、创建 CSP 策略

CSP策略是设置了许多内容源的字符串，内容源可以对协议、主机host、关键词等等。比如

```javascript
Content-Security-Policy: default-src 'self'; img-src https://*; child-src 'none';
```

测试CSP策略的在线工具

- [**Google CSP Evaluator**](https://csp-evaluator.withgoogle.com/)
- [**Mozilla Observatory**](https://observatory.mozilla.org/)

### 二、添加 CSP 策略

开发者可以通过下面的手段通知浏览器那些资源是安全的，可加载执行的；哪些请求应该拒绝；

- 服务器端通过设置HTTP header **`Content-Security-Policy`**
- 网页HTML文件中添加meta标签**`<meta http-equiv="Content-Security-Policy" content="default-src 'self'; img-src https://*; child-src 'none';">`**
-

![](https://cdn.portal.levenx.com/levenx-world/07d438e8ca7b4982a53d6eacdb90e2c0.png)

## CSP 指令列表

> 💡 CSP 定义了一系列的指令，每个指令控制一个特定的策略。

1. **default-src**：这是CSP的默认指令，如果没有设置其他CSP指令，那么默认指令将会用于所有的内容类型。例如，对于以下HTML代码：

   **`Content-Security-Policy: default-src 'self'`**

   这告诉浏览器只能从当前域名加载所有类型的内容（脚本、图片、样式等等）。
2. **script-src**： 定义了哪些源的脚本可以被安全地执行。例如：

   **`Content-Security-Policy: script-src 'self' https://cdnjs.cloudflare.com`**

   这表示只能从当前源，以及 [**https://cdnjs.cloudflare.com**](https://cdnjs.cloudflare.com/) ，加载和运行脚本。
3. **style-src**：定义哪些源的样式可以被安全地加载和应用。例如：

   **`Content-Security-Policy: style-src 'self' https://fonts.googleapis.com`**

   这表示只能从当前源和[**https://fonts.googleapis.com，加载和应用样式。**](https://fonts.googleapis.xn--com/%2C-t29fx5hv7ye2az61dts3ass4d./)
4. **img-src**：定义哪些源的图像可以安全地加载。例如：

   **`Content-Security-Policy: img-src 'self' data: https://cdn.example.net`**

   这表示浏览器只允许加载来自当前源，data: URLs，以及 [**https://cdn.example.net**](https://cdn.example.net/) 的图像。
5. **connect-src**：定义了通过脚本 (例如 Fetch API, XMLHttpRequest 或 WebSockets) 连接的源。例如:

   **`Content-Security-Policy: connect-src 'self' https://api.example.com`**
6. **font-src**：指定了哪些源的字体可以被安全地加载。例如：

   **`Content-Security-Policy: font-src 'self' https://fonts.gstatic.com`**
7. **object-src**：指定了<object>，<embed>，和<applet>元素能够加载资源的源。例如：

   **`Content-Security-Policy: object-src 'none'`**

   这告诉浏览器不要从任何源加载插件类型的内容。
8. **frame-src**：指定了可以在<\\frame\>或<\iframe>元素中嵌入的源。例如：

   **`Content-Security-Policy: frame-src 'self' https://example.com`**
9. **base-uri** : 限制了可以作为基础URI的URL，例如：

   **`Content-Security-Policy: base-uri 'self'`**

   这告诉浏览器只有当前源的URL才能作为基础URI。

## 最佳实践

> ⚠️ 由于CSP机制会拒绝白名单内的资源，这个行为对于稳定运行的线上项目其实是比较危险的。推荐逐步谨慎的引入 CSP。

首先配置仅报告策略，根据实际的 CSP 报告进行判断和策略或者代码改造，逐步引入更严格的策略。

使用 **`Content-Security-Policy-Report-Only`** 代替 **`Content-Security-Policy`** 可以作为开始使用 CSP 的良好起点。**`Content-Security-Policy-Report-Only`** 指令会监控可能的违规行为，但并不会实际阻止它们

此模式的好处是，它允许你观察到如果 CSP 被执行，将会发生什么，而不会实际破坏你的网站。它也提供给你一个机会对可能的漏洞进行调查，并根据这些收集到的信息来优化你的CSP。

```javascript
Content-Security-Policy-Report-Only: default-src 'self'; report-to /csp-report-endpoint/
```


公司部门安全合规改造计划，要求所有的Web站点统一添加CSP规则。对于CSP机制我只是之前在应付面试的时候背过相关的概念，并没有真正在项目中实践过。所以希望借助本次改造任务好好理解并实践CSP机制。CSP的全称是ContentSecurityPolicy，翻译成中文就是内容安全策略。CSP 通过告诉浏览器一系列规则，严格规定页面中哪些资源允许有哪些来源，不在指定范围内的通通拒绝。

XSS防御:内容安全策略 CSP 使用实战与配置

Git是一个由林纳斯·托瓦兹为了更好地管理linux内核开发而创立的分布式版本控制／软件配置管理软件。需要注意的是和GNU Interactive Tools，一个类似Norton Commander界面的文件管理器相区分。



C 语言，是一种通用的、过程式的编程语言，广泛用于系统与应用软件的开发。具有高效、灵活、功能丰富、表达力强和较高的移植性等特点，在程序员中备受青睐。

C 语言是由 UNIX 的研制者丹尼斯·里奇（Dennis Ritchie）和肯·汤普逊（Ken Thompson）于 1970 年研制出的B语言的基础上发展和完善起来的。目前，C 语言编译器普遍存在于各种不同的操作系统中，例如 UNIX、MS-D

C语言

C++ 是一种通用的、静态类型的编程语言，它具有高效性、灵活性和可移植性等特点。C++ 基于 C 语言，同时支持面向对象编程和泛型编程，可以用于开发各种类型的应用程序，如系统软件、游戏、桌面应用程序、移动应用程序等。

C++ 的主要特点包括：

高效性：C++ 是一种编译型语言，可以生成高效的本地代码，在性能要求高的应用程序中得到广泛应用；
面向对象编程：C++ 支持面向对象编程，包括封装、继承

React 是一个由 Facebook 开发的流行的 JavaScript 库，用于构建交互式用户界面。它采用了一种基于组件化的开发模式，使得开发人员可以将 UI 拆分为独立的、可复用的组件，并由这些组件构建复杂的用户界面。

React 的主要特点包括：

组件化开发：React 将 UI 拆分为独立的、可复用的组件，开发人员可以将这些组件组合在一起构建复杂的用户界面；
虚拟 DOM：React

React

Web前端开发是从网页制作演变而来的，名称上有很明显的时代特征。在互联网的演化进程中，网页制作是Web 1.0时代的产物，那时网站的主要内容都是静态的，用户使用网站的行为也以浏览为主。2005年以后，互联网进入Web 2.0时代，各种类似桌面软件的Web应用大量涌现，网站的前端由此发生了翻天覆地的变化。网页不再只是承载单一的文字和图片，各种富媒体让网页的内容更加生动，网页上软件化的交互形式为用户提

JavaScript 是一种基于脚本的编程语言，主要用于在 Web 页面上实现交互式的效果和动态的内容。JavaScript 是一种解释性语言，不需要编译就可以直接在浏览器中运行。

JavaScript 的主要特点包括：

轻量级：JavaScript 代码通常比较短小，可以快速加载和执行。

可移植性：JavaScript 可以在各种不同的浏览器和操作系统上运行。

面向对象编程：JavaSc

JavaScript

Cypress 是一个前端自动化测试工具，用于测试基于Web的应用程序。它能够测试运行在浏览器中的应用，并且适用于单元测试、集成测试和端到端（E2E）测试。Cypress 提供了一个丰富的API集，以及一个友好的交互式界面，让开发和测试人员能够轻松编写、运行和调试测试用例。

Cypress

ORM（Object-Relational Mapping，对象关系映射）是编程中的一个概念，它指的是一种技术手段，可以将不兼容的类型系统转换为面向对象模型。换句话说，ORM 允许开发者在编程语言中使用对象的方式来操作数据库中的数据。

Linux 是一个广泛使用的开源操作系统内核，由林纳斯·托瓦兹（Linus Torvalds）于1991年创建。它是 Unix-like 操作系统的一个重要分支，并且它的设计和实现遵循了模块化的设计原则。Linux 内核本身可以与不同的用户空间组件配合，形成完整的操作系统。这些完整的系统被称为 Linux 发行版，例如 Ubuntu、Fedora、Debian、CentOS 和 Arch Linu

Linux

Vue.js（简称 Vue）是一种开源的轻量级 JavaScript 框架，由 Evan You 于2014年首次发布。Vue 致力于在用户界面（UI）开发中实现数据与视图的双向绑定，为创建现代化 Web 应用、单页面应用（SPA）以及多种复杂界面提供了一种简洁、高效且可扩展的解决方案。

#### 核心特性

- **组件化：** Vue 包含了独立的、可复用的组件，有助于将 UI 切成逻辑部分

Docker 是一个开源的容器化平台，允许开发者打包应用及其全部依赖到一个可移植的容器中，然后这个容器可以在任何机器上运行，确保应用在不同环境之间运行的一致性。Docker 使用了 Linux 容器（LXC）的技术，但进行了扩展，使其更为易用、功能更全面。

Docker

Rust是一种系统编程语言，由Mozilla Research开发。它是一种安全、并发和高效的语言，旨在为开发人员提供更好的内存安全和线程安全，同时保持高性能和可扩展性。

Rust的设计具有以下特点：

内存安全：Rust在编译时执行内存安全检查，防止常见的内存错误，例如使用空指针或释放不再使用的内存。

并发性：Rust具有一种称为"无等待"（lock-free）的并发模型，它可以确保线程安全

Rust

MySQL 是一款流行的关系型数据库管理系统（RDBMS）。它负责存储、检索和管理结构化数据，尤其是以表格形式存储的数据。MySQL 使用 SQL（Structured Query Language，结构化查询语言）作为查询和操作数据的接口，并遵循许多 SQL 标准。它是一种兼具性能、可靠性和易用性的数据库系统，适用于各种应用场景，从个人项目到大型企业应用。

MySQL

JavaScript 的升级版 TypeScript 已日益成为开发世界全新的演变里程碑。立足于 JavaScript 的优雅灵活与 TypeScript 的强类型体系，本教程旨在助您铸就极致的开发力量。

我们的 TypeScript 系列教程将自始至终地引导你掌握 TypeScript 的各种方面，与您一起，宏观理解 JavaScript 世界、深入钻研 TypeScript 规则与逻辑，探索

TypeScript

Mongoose 是一个面向 MongoDB 数据库的对象数据模型（ODM）库，用于在 Node.js 环境下建模和操作 MongoDB 文档结构。它提供了一些方便的特性，如数据验证、查询构建、业务逻辑钩子（hooks）和中间件，使得处理 MongoDB 文档更加直观和安全。


Mongoose

Tailwind CSS 是一个非常强大且受欢迎的实用型 CSS 框架，于2017年由.Adam Wathan、Jonathan Reinink、David Hemphill 和 Steve Schoger 共同创立。 这个框架的主要目标是帮助开发者快速构建定制化的用户界面，而无需从头开始编写 CSS 代码。
Tailwind 提供了一整套预先定义好的类名，代表 CSS 的各种属性，如颜色、字体大

Tailwind CSS

Elasticsearch（常写作 Elasticsearch）是基于 Lucene 的分布式搜索与分析引擎，面向海量数据提供近实时（NRT）的全文检索、结构化查询与聚合分析能力。它以 JSON 文档为核心数据模型，通过 索引（index）—分片（shard）—副本（replica） 的机制实现横向扩展与高可用：数据被切分到多个分片分布在不同节点上，副本用于容灾与提升读取吞吐。Elasticsea

ElasticSearch

Go，也称为 Golang，是一种开源的编程语言，由 Google 开发。Go 是一种静态类型、编译型、并发型的语言，它被设计为一种简单、快速、可靠和高效的语言。Go 语言的语法类似于 C 语言，但也借鉴了其他语言的一些特性，如 Python 和 Java。

Go 语言的设计目标是提供一种简单、易于学习和使用的语言，同时具有高效的执行速度和并发处理能力。Go 语言的主要特点包括：

1. 并发支

Golang

CSS（Cascading Style Sheets）是一种用于描述文档样式和布局的样式表语言，常用于 Web 开发中。它通过定义样式规则来控制 HTML 元素的外观和布局，使得开发人员可以更加灵活地控制页面的样式和排版。

CSS 的主要特点包括：

分离样式和内容：CSS 可以将样式信息从 HTML 内容中分离出来，使得样式和内容的管理更加清晰和易于维护；
层叠样式：CSS 中的样式规则是可以

Network（网络）是指连接在一起的计算机、设备和其他物体，它们可以彼此通信和交换信息。网络可以分为局域网（LAN）、广域网（WAN）、互联网（Internet）等不同的类型和层次，它们在不同的范围和层次上提供了不同的服务和功能。

网络的主要特点包括：

连通性：网络可以将不同的计算机、设备和应用程序连接在一起，实现彼此之间的通信和数据交换。

分布式：网络中的计算机和设备分布在不同的地理位置

Web安全