安全 – CSP (Content Security Policy) and X-Frame-Options

前言

之前讲过 CSRF。防 Cookie hacking 的。

也介绍过防 XSS 的 HtmlSanitizer。

今天再介绍多 2 个 CSP 和 X-Frame-Options。

CSP (Content Security Policy)

它是游览器的其中一种防 hack 机制。除 IE 以外，modern browser 老早就全部支持了，所以可以安心用。

它主要是防 html 里要加载的 resource。

比如 html 想加载 JavaScript, Image 等等，

首先游览器会去检查 CSP config，然后验证这些 resource 是否符合 config 要求，如果 ok 才加载，不 ok 就报错，不加载。

Define CSP

本栏目推荐文章
• 基于融合语义信息改进的内容推荐算法。Improved content recommendation algorithm integrating semantic information.
• 解决前后端的跨域问题：Access to XMLHttpRequest at '**' from origin '**' has been blocked by CORS policy: No 'Access-Control-Allow-Origin' header is present on the requested resource.
• (token，Spring Security)
• SpringMVC中如何设置响应的Content-Type(源码分析)
• 从content-type设置看Spring MVC处理header的一个坑
• seata-server-1.8.0 | Could not resolve placeholder 'console.user.username' in value "${console.user.username}"  | "${seata.security.secretKey}"
• echart更改options值，渲染不跟着改变的坑
• request content was evicted from inspector cache
• Spring Security
• Options API 和 Composition API

X-Frame-Options Security Content Options Policyx-frame-options security content options content-security-policy content-security-policy security content policy content-security-policy security策略content options strict-transport-security x-content-type-options security content policy header x-frame-options x-frame-options options frame deny x-frame-options options frame x-frame-options options iframe nginx