我已经阅读了所有官方动机,为什么它是切成薄片以来最好的东西,但是实际上,如果可以通过浏览器扩展,浏览器设置甚至通过浏览器默认设置/配置/功能/属性来禁用和/或更改它,还是通过代理? 如果有人真的想定位到您的网站,为什么他们不禁用它或使用自定义方式连接到您的网站? 抱歉,这不是特定的代码问题。 而是我想知道为什么一个人甚至应该一开始就实施此程序?洛德(Lord)知道语法并不简单,并且严重缺乏功能,您只能在允许冒险行为或限制站点功能而无法以安全方式保留功能的方式之间进行选择。 请不要拒绝该问题,如果您认为该问题不合适,则只需将其锁定或删除即可。 这是我唯一注册的地方,可以让我向真正的编码专家发布问题。
答案 0 :(得分:1)
“如果某人确实想要定位您的网站,为什么他们不禁用它或使用自定义方式连接到您的网站?”
他们可能会这样做,但这不是CSP的防护对象。
许多网站黑客都采取类似的做法:Bad Guy黑客网站。无辜的受害者访问网站,并被Bad Guy的有效载荷击中。在这种情况下,CSP会为受害者提供保护,而不是为了防止Bad Guy进入而采取其他措施。(其他安全措施可应对最初的攻击。)
还请注意,如果您从第三方网站(例如PayPal或Google)获取功能,则“受害者”可能是您的网站,因为如果其中一个被黑,您网站上的CSP可能会说“嘿,那不是允许”。几个月前,服务提供商(忘记了谁)遭受了一次大黑客攻击,攻击了很多站点,因为它们都从该站点提取代码。客户站点本可以通过识别提供者代码无效的单行CSP来防止其客户受害
答案 1 :(得分:0)
每种安全工具,指南和策略都可以在各种情况下解决不同的问题。
例如,代理可以重写。 但是,有TLS / SSL /加密技术可以对抗中间人。
例如,浏览器/插件可以重写内容。 有防病毒功能。它们已经在客户端计算机上运行,这不是问题。
(如果家里已经有小偷,您就不能安全地锁上门)
CSP解决了一个问题-来自可信来源的不可信内容。 第三方/用户在您信任的网站上生成的内容。
例如。 如果有人将图片或JavaScript上传到在eBay,亚马逊或任何带有支付网关的在线商店中,服务主机或最终用户都不希望执行它们来窃取您的密码,窃取登录cookie或将您重定向到钓鱼网站。