Content-Security-Policy (CSP) header

Cú pháp

Content-Security-Policy: <policy-directive>; <policy-directive>

trong đó <policy-directive> bao gồm: <directive> <value> không có dấu câu nội bộ.

Chỉ thị

Chỉ thị Fetch

Chỉ thị Fetch kiểm soát các vị trí mà các loại tài nguyên nhất định có thể được tải từ đó.

child-src

Xác định các nguồn hợp lệ cho web workers và các ngữ cảnh duyệt web lồng nhau được tải bằng các phần tử như <frame> và <iframe>. Dự phòng cho frame-src và worker-src.

connect-src

Hạn chế các URL có thể được tải bằng giao diện script.

default-src

Đóng vai trò dự phòng cho các chỉ thị fetch khác. Dự phòng cho tất cả các chỉ thị fetch khác.

fenced-frame-src Experimental

Chỉ định các nguồn hợp lệ cho các ngữ cảnh duyệt web lồng nhau được tải vào các phần tử <fencedframe>.

font-src

Chỉ định các nguồn hợp lệ cho các phông chữ được tải bằng @font-face.

frame-src

Chỉ định các nguồn hợp lệ cho các ngữ cảnh duyệt web lồng nhau được tải vào các phần tử như <frame> và <iframe>.

img-src

Chỉ định các nguồn hợp lệ của hình ảnh và favicon.

manifest-src

Chỉ định các nguồn hợp lệ của tệp manifest ứng dụng.

media-src

Chỉ định các nguồn hợp lệ để tải phương tiện bằng các phần tử <audio>, <video> và <track>.

object-src

Chỉ định các nguồn hợp lệ cho các phần tử <object> và <embed>.

prefetch-src Deprecated Non-standard

Chỉ định các nguồn hợp lệ để prefetch hoặc prerender.

script-src

Chỉ định các nguồn hợp lệ cho tài nguyên JavaScript và WebAssembly. Dự phòng cho script-src-elem và script-src-attr.

script-src-elem

Chỉ định các nguồn hợp lệ cho các phần tử JavaScript <script>.

script-src-attr

Chỉ định các nguồn hợp lệ cho các trình xử lý sự kiện inline JavaScript.

style-src

Chỉ định các nguồn hợp lệ cho các stylesheet. Dự phòng cho style-src-elem và style-src-attr.

style-src-elem

Chỉ định các nguồn hợp lệ cho các phần tử stylesheet <style> và các phần tử <link> có rel="stylesheet".

style-src-attr

Chỉ định các nguồn hợp lệ cho các style inline được áp dụng cho các phần tử DOM riêng lẻ.

worker-src

Chỉ định các nguồn hợp lệ cho các script Worker, SharedWorker, hoặc ServiceWorker.

Dự phòng

Một số chỉ thị fetch hoạt động như dự phòng cho các chỉ thị chi tiết hơn khác. Điều này có nghĩa là nếu chỉ thị chi tiết hơn không được chỉ định, thì dự phòng được sử dụng để cung cấp chính sách cho loại tài nguyên đó.

• default-src là dự phòng cho tất cả các chỉ thị fetch khác.
• script-src là dự phòng cho script-src-attr và script-src-elem.
• style-src là dự phòng cho style-src-attr và style-src-elem.
• child-src là dự phòng cho frame-src và worker-src.

Chỉ thị tài liệu

Chỉ thị tài liệu điều chỉnh các thuộc tính của tài liệu hoặc môi trường worker mà chính sách áp dụng.

base-uri

Hạn chế các URL có thể được sử dụng trong phần tử <base> của tài liệu.

sandbox

Kích hoạt sandbox cho tài nguyên được yêu cầu tương tự như thuộc tính sandbox của <iframe>.

Chỉ thị điều hướng

Chỉ thị điều hướng điều chỉnh vị trí mà người dùng có thể điều hướng hoặc gửi biểu mẫu.

form-action

Hạn chế các URL có thể được sử dụng làm mục tiêu của các gửi biểu mẫu từ ngữ cảnh đã cho.

frame-ancestors

Chỉ định các cha hợp lệ có thể nhúng trang bằng <frame>, <iframe>, <object>, hoặc <embed>.

Chỉ thị báo cáo

Chỉ thị báo cáo kiểm soát URL đích cho báo cáo vi phạm CSP trong Content-Security-Policy và Content-Security-Policy-Report-Only.

report-to

Cung cấp cho trình duyệt một token xác định điểm cuối báo cáo hoặc nhóm điểm cuối để gửi thông tin vi phạm CSP. Các điểm cuối mà token đại diện được cung cấp thông qua các tiêu đề HTTP khác, chẳng hạn như Reporting-Endpoints và Report-To Deprecated .

Chỉ thị khác

require-trusted-types-for

Thực thi Trusted Types tại các điểm tiêm DOM XSS.

trusted-types

Được sử dụng để chỉ định danh sách được phép của các chính sách Trusted Types. Trusted Types cho phép ứng dụng khóa các điểm tiêm DOM XSS chỉ chấp nhận các giá trị có kiểu, không thể giả mạo thay vì chuỗi.

upgrade-insecure-requests

Hướng dẫn các tác nhân người dùng coi tất cả các URL không an toàn của một trang web (những URL được phục vụ qua HTTP) như thể chúng đã được thay thế bằng các URL an toàn (những URL được phục vụ qua HTTPS).

Chỉ thị không còn dùng nữa

block-all-mixed-content Deprecated

Ngăn tải bất kỳ tài nguyên nào bằng HTTP khi trang được tải bằng HTTPS.

report-uri Deprecated

Cung cấp cho trình duyệt URL nơi các báo cáo vi phạm CSP nên được gửi. Điều này đã được thay thế bởi chỉ thị report-to.

Cú pháp chỉ thị Fetch

Tất cả các chỉ thị fetch có thể được chỉ định là một trong các dạng sau:

• giá trị đơn 'none', chỉ ra rằng loại tài nguyên cụ thể nên bị chặn hoàn toàn
• một hoặc nhiều giá trị biểu thức nguồn, chỉ ra các nguồn hợp lệ cho loại tài nguyên đó.

'nonce-<nonce_value>'

Giá trị này bao gồm chuỗi nonce- theo sau là giá trị nonce. Giá trị nonce có thể sử dụng bất kỳ ký tự nào từ Base64 hoặc URL-safe Base64.

Chuỗi này là giá trị ngẫu nhiên mà máy chủ tạo ra cho mỗi phản hồi HTTP.

'<hash_algorithm>-<hash_value>'

Giá trị này bao gồm chuỗi xác định thuật toán hash, theo sau là -, theo sau là giá trị hash.

• Mã định danh thuật toán hash phải là một trong sha256, sha384, hoặc sha512.
• Giá trị hash là hash được mã hóa base64 của tài nguyên <script> hoặc <style>.

<host-source>

URL hoặc địa chỉ IP của host là nguồn hợp lệ cho tài nguyên.

<scheme-source>

Một scheme, chẳng hạn như https:. Dấu hai chấm là bắt buộc.

'self'

Các tài nguyên của loại đã cho chỉ có thể được tải từ cùng origin như tài liệu.

'unsafe-eval'

Theo mặc định, nếu CSP chứa chỉ thị default-src hoặc script-src, các hàm JavaScript đánh giá đối số của chúng như JavaScript sẽ bị vô hiệu hóa. Từ khóa unsafe-eval có thể được sử dụng để hoàn tác bảo vệ này.

'unsafe-inline'

Theo mặc định, nếu CSP chứa chỉ thị default-src hoặc script-src, JavaScript inline không được phép thực thi. Từ khóa unsafe-inline có thể được sử dụng để hoàn tác bảo vệ này.

'strict-dynamic'

Từ khóa 'strict-dynamic' làm cho niềm tin được cấp cho một script bởi nonce hoặc hash mở rộng đến các script mà script này tải động.

CSP trong workers

Workers nói chung không được điều chỉnh bởi chính sách bảo mật nội dung của tài liệu (hoặc worker cha) đã tạo ra chúng. Để chỉ định chính sách bảo mật nội dung cho worker, hãy đặt tiêu đề phản hồi Content-Security-Policy cho yêu cầu yêu cầu script worker chính nó.

Nhiều chính sách bảo mật nội dung

Cơ chế CSP cho phép nhiều chính sách được chỉ định cho tài nguyên, bao gồm qua tiêu đề Content-Security-Policy, tiêu đề Content-Security-Policy-Report-Only và phần tử <meta>.

Ví dụ

Vô hiệu hóa code inline không an toàn và chỉ cho phép tài nguyên HTTPS

Tiêu đề HTTP này đặt chính sách mặc định chỉ cho phép tải tài nguyên (hình ảnh, phông chữ, script, v.v.) qua HTTPS.

Content-Security-Policy: default-src https:

Cho phép code inline và tài nguyên HTTPS, nhưng vô hiệu hóa plugin

Chính sách này có thể được sử dụng trên trang web hiện tại sử dụng quá nhiều code inline để sửa, để đảm bảo tài nguyên chỉ được tải qua HTTPS và vô hiệu hóa plugin:

Content-Security-Policy: default-src https: 'unsafe-eval' 'unsafe-inline'; object-src 'none'

Báo cáo nhưng không thực thi vi phạm khi kiểm thử

Ví dụ này đặt các hạn chế tương tự như ví dụ trước, nhưng sử dụng tiêu đề Content-Security-Policy-Report-Only và chỉ thị report-to.

Reporting-Endpoints: csp-endpoint="https://example.com/csp-reports"

Content-Security-Policy-Report-Only: default-src https:; report-uri /csp-violation-report-url/; report-to csp-endpoint

Thông số kỹ thuật

Khả năng tương thích trình duyệt

Xem thêm

• Content-Security-Policy-Report-Only
• Chỉ thị CSP report-to
• Reporting-Endpoints
• CSPViolationReport
• Reporting API.