前端安全中 CSP 的作用是什么?
内容安全策略 (CSP) 是一种浏览器级别的安全机制,用于防范跨站脚本攻击和防止加载不明外部资源。
CSP(Content Security Policy),即内容安全策略,是一种浏览器实施的安全机制,用于控制前端页面可加载资源的来源,从而预防常见安全威胁。其主要作用包括:
-
防止跨站脚本攻击 (XSS):CSP 限制可执行的脚本来源,默认禁止内联脚本(如
<script>)和 eval() 函数,要求所有脚本必须来自可信域名(例如通过script-src 'self' https://trusted-source.com;指令),从而避免恶意注入代码被执行和用户数据泄露风险。 -
减少恶意外部资源加载和数据泄露:CSP 通过白名单机制约束资源加载,如仅允许指定来源的 CSS、图片、字体等资源使用
style-src,img-src等指令。这阻止了未授权第三方资源入侵,例如禁止图片加载到钓鱼网站或阻止点击劫持风险。 -
启用报告模式辅助调试:开发者可以配置
Content-Security-Policy-Report-Only头或设置report-to,启用报告但不阻止违规资源,系统会发送违反策略的行为到指定 URL,便于监控和修复问题而不影响用户体验。 -
提供灵活的安全控制:通过 HTTP 响应头或
<meta>标签定义策略,支持分层指令如default-src设置默认安全策略。
<!-- 通过 meta 标签定义的 CSP 示例 -->
<meta http-equiv="Content-Security-Policy" content="default-src 'self'; script-src 'self' https://trusted-scripts.com;">
CSP 的实施提升了整体 Web 应用安全性,增强用户信任,典型优势包括提升兼容性和精细化管理资源策略。