Content Security Policy - 論一般網站放置的可行性

# Content Security Policy - 論一般網站放置的可行性 ## 前言 Content Security Policy 出來也有一段時間了他的目的是為了從 header 下手去抵禦一些攻擊, 基本上遵循它的rule 就可以避掉一些 XSS 攻擊但有時加入這功能會需要變動程式的架構或者某些性質的服務是根本就是設定到可以動的話安全係數會降低許多這裏會稍微舉一些例子來說明關於 Content Security Policy 以下有一些連結可以幫助瞭解這個 header Refer - An Introduction to Content Security Policy Refer - Content Security Policy 入门教程 Refer - Content-Security-Policy - HTTP Headers 的資安議題 (2) Refer - Content Security Policy Reference 目前有只用的知名服務有 github 和 dropbox ## 簡介簡單說就是會限制頁面上出現的東西 domain inline style inline script iframe, frame object https 可以用 html <meta> 或用 http header 的方式使用, 所以純靜態網頁也是可以用的 ...

2016-09-19

/posts/2016-09-19-content-security-policy-on-the-feasibility-of-general-site-placed/

CSP Security

Tedshd's Dev note

Category: CSP Security

Content Security Policy - 論一般網站放置的可行性