ASP.NETCore中怎么利用Csp標(biāo)頭對(duì)抗Xss攻擊-創(chuàng)新互聯(lián)

這篇文章給大家分享的是有關(guān)ASP.NET Core中怎么利用Csp標(biāo)頭對(duì)抗Xss攻擊的內(nèi)容。小編覺(jué)得挺實(shí)用的，因此分享給大家做個(gè)參考，一起跟隨小編過(guò)來(lái)看看吧。

創(chuàng)新互聯(lián)建站專(zhuān)注于北湖企業(yè)網(wǎng)站建設(shè),響應(yīng)式網(wǎng)站開(kāi)發(fā),商城系統(tǒng)網(wǎng)站開(kāi)發(fā)。北湖網(wǎng)站建設(shè)公司,為北湖等地區(qū)提供建站服務(wù)。全流程按需策劃，專(zhuān)業(yè)設(shè)計(jì)，全程項(xiàng)目跟蹤，創(chuàng)新互聯(lián)建站專(zhuān)業(yè)和態(tài)度為您提供的服務(wù)

內(nèi)容安全策略（CSP）是一個(gè)增加的安全層，可幫助檢測(cè)和緩解某些類(lèi)型的攻擊，包括跨站點(diǎn)腳本（XSS）和數(shù)據(jù)注入攻擊。這些攻擊用于從數(shù)據(jù)竊取到站點(diǎn)破壞或惡意軟件分發(fā)的所有內(nèi)容（深入CSP）

簡(jiǎn)而言之，CSP是網(wǎng)頁(yè)控制允許加載哪些資源的一種方式。例如，頁(yè)面可以顯式聲明允許從中加載JavaScript，CSS和圖像資源。這有助于防止跨站點(diǎn)腳本（XSS）攻擊等問(wèn)題。

它也可用于限制協(xié)議，例如限制通過(guò)HTTPS加載的內(nèi)容。CSP通過(guò) Content-Security-Policy HTTP響應(yīng)中的標(biāo)頭實(shí)現(xiàn)。

啟用CSP,您需要配置Web服務(wù)器以返回Content-Security-Policy HTTP標(biāo)頭。那么在這篇文章中，我們將要嘗試將CSP添加到ASP.NET Core應(yīng)用程序中。

app.Use(async (ctx, next) =>
  {
  ctx.Response.Headers.Add("Content-Security-Policy",
    "default-src 'self'; report-uri /cspreport");
  await next();
  });

在Home/Index中引入cdn文件，然后我們啟動(dòng)項(xiàng)目，看看會(huì)發(fā)生什么！

運(yùn)行并觀(guān)察錯(cuò)誤。加載頁(yè)面時(shí)，瀏覽器拒絕從遠(yuǎn)程源加載。

所以我們可以組織CSP來(lái)控制我們的白名單，在配置當(dāng)中需要填寫(xiě)來(lái)源以及內(nèi)容，以下是常用限制的選項(xiàng)。

來(lái)源：

*: 允許任何網(wǎng)址。
‘self': 允許所提供頁(yè)面的來(lái)源。請(qǐng)注意，單引號(hào)是必需的。
‘none': 不允許任何來(lái)源。請(qǐng)注意，單引號(hào)是必需的。
Host: 允許指定的互聯(lián)網(wǎng)主機(jī)（按名稱(chēng)或IP地址）。通配符（星號(hào)字符）可用于包括所有子域，例如http：//*.foo.com
‘unsafe-line': 允許內(nèi)聯(lián)腳本
‘nonce-[base64-value]': 允許具有特定nonce的內(nèi)聯(lián)腳本（使用一次的數(shù)字）。對(duì)于每個(gè)HTTP請(qǐng)求/響應(yīng)，應(yīng)該對(duì)nonce進(jìn)行加密和。

 指令：

script-src：定義有效的JavaScript源
style-src：定義樣式表的有效來(lái)源
img-src：定義有效的圖像源
connect-src：定義可以進(jìn)行AJAX調(diào)用的有效源
font-src：定義有效的字體來(lái)源
object-src：定義