Content-Security-Policy Nginx配置实践

12 1月

Content-Security-Policy Nginx配置实践

CSP全称Content Security Policy ,可以直接翻译为内容安全策略,说白了,就是为了页面内容安全而制定的一系列防护策略. 通过CSP所约束的的规责指定可信的内容来源(这里的内容可以指脚本、图片、iframe、fton、style等等可能的远程的资源)。通过CSP协定,让WEB处于一个安全的运行环境中。

我的目的是防止运营商污染,配置如下

	
<meta http-equiv="Content-Security-Policy" content="script-src https://cdnjs.cloudflare.com  'unsafe-eval'  'unsafe-inline'  'self'  ; object-src 'none'; style-src cdn.example.org third-party.org; child-src https:">

这是测试环境 nginx直接配置hader属性即可

add_header

add_header Content-Security-Policy "default-src 'self'; img-src 'self' data:; script-src 'self' 'unsafe-inline' 'unsafe-eval'; style-src 'self' 'unsafe-inline'; connect-src 'self';"

发表评论

您的电子邮箱地址不会被公开。 必填项已用*标注