Home Sign Up Sign In
• 请不要在回答技术问题时复制粘贴 AI 生成的内容
kfll
V2EX  ›  程序员

用 CSP 来降低网站被运营商劫持后的影响

  •  1      
  •   kfll · Sep 19, 2014 · 3975 views
    This topic created in 4262 days ago, the information mentioned may be changed or developed.

    面向对象:开发者

    CSP 能够阻止你的页面中一些内容被加载或执行

    介绍可以看这: http://mdn.io/csp

    规范看这: http://www.w3.org/TR/CSP/

    一个例子(HTTP Response Header):

    Content-Security-Policy: default-src *; script-src 'self' 'unsafe-inline' 'unsafe-eval' *.v2ex.com www.google-analytics.com; frame-src 'self'  gist.github.com www.youtube.com player.youku.com; font-src 'self' *.v2ex.com fonts.gstatic.com; connect-src 'self' *.v2ex.com

    default-src 是 fallback,中间的很好理解,connect-src 是 XMLHttpRequest.open 和 websocket 之类;

    规范不长,可以花点时间看看。

    还能防一些 XSS 生效;

    如果禁掉 'unsafe-inline' 的话,大概还能防 ABP 之类。

    如果你自己写代理上网的话,大概还能用它来阻止广告、ga 之类

  • src
  • v2ex.com
  • Unsafe
    5 replies    2014-09-20 02:45:55 +08:00
    xiaody
        1
    xiaody  
       Sep 19, 2014
    zhihu已经在用了
    DreaMQ
        2
    DreaMQ  
       Sep 19, 2014
    HTTPS才是王道
    jakwings
        3
    jakwings  
       Sep 19, 2014   ❤️ 1
    HTTPS 才是王道。楼主会发现写规则好麻烦,最终只为论坛加点防御力。
    还有 X-Iframe-Options 禁止网页被镶嵌。
    jakwings
        4
    jakwings  
       Sep 19, 2014
    @jakwings 更正:X-Frame-Options。
    whywhywhy
        5
    whywhywhy  
       Sep 20, 2014
    “被运营商劫持后的影响”

    嗯,以后运营商不劫持html页面了,劫持js文件。
    About   ·   Help   ·   Advertise   ·   Blog   ·   API   ·   FAQ   ·   Solana   ·   2910 Online   Highest 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 37ms · UTC 11:09 · PVG 19:09 · LAX 04:09 · JFK 07:09
    ♥ Do have faith in what you're doing.