Оглавление
Политика безопасности контента
-
Основы политики защиты контента (CSP)
- CSP предотвращает межсайтовый скриптинг и другие атаки, связанные с вредоносным контентом.
- Рекомендована рабочей группой W3C и широко поддерживается современными браузерами.
- Позволяет веб-сайтам указывать разрешенные источники контента для браузеров.
-
История и развитие
- Предложена Робертом Хансеном в 2004 году, реализована в Firefox 4.
- Первая версия опубликована в 2012 году, последующие версии выпущены в 2014 году.
- В разработке находится версия 3, включающая новые функции.
-
Поддержка браузерами
- Различные браузеры поддерживают CSP через разные экспериментальные заголовки.
- Internet Explorer 10 и 11 поддерживают sandbox, но не полный CSP.
- Фреймворки веб-приложений, такие как AngularJS и Django, поддерживают CSP.
-
Обход и режимы работы
- Существуют методы обхода CSP, включая использование уязвимых версий библиотек.
- CSP может быть применена декларативно через allowlist или через рефакторинг существующих приложений.
-
Отчеты и исключения
- Браузеры отправляют отчеты о нарушениях политики CSP.
- В 2018 году были обнаружены методы отправки ложных отчетов.
- CSP изначально не затрагивала надстройки и расширения браузера, но это изменилось в последующих версиях.
-
Дополнительные меры безопасности
- W3C предлагает дополнительные стандарты безопасности, такие как SRI, смешанный контент и управление учетными данными.
-
Ссылки и ресурсы
- Ссылки на дополнительные ресурсы, включая NoScript и HTTP Switchboard.