HTML的Content-Security-Policy是否可以防止内联脚本攻击?

时间:2015-01-29 12:07:00

标签: html xss meta-tags meta content-security-policy

我可以理解它如何与注入然后链接外部JS文件的人一起工作,但是在脚本标签中直接编写脚本呢?你无法判断它是否来自其他来源。

1 个答案:

答案 0 :(得分:1)

默认情况下,CSP会对此进行防范。正如你所说,很难说CSP对这些内容的真正起源是通过默认禁止内联脚本(包括onclick =“”属性)来解决这个问题。使用内联脚本的方法只有两种:指定禁用保护的'unsafe-inline'。或者指定noncehash将特定内联脚本列入白名单。

值得注意的是,在撰写本文时(2015年8月),并非所有浏览器都支持白名单内联脚本的随机数和散列方法,因此可能会在未准备好CSP级别2的浏览器中导致不良行为。 / p>