WEB的盛行让这个网络社会更非富，随之而来的就是安全问题。如果何安全的接受用户输入并正确的显示出来是绝大多部WEB程序的致追求。其中之一就是防止XSS，一般性而言XSS的主要危害主要是：一是页面可能被恶意或其他原因所定制，二是有可能造成站内数据外泄。

    XSS页面定制

    现代WEB内容很多由厂商和用户共同产生，下面的例子说明一个由厂商和用户共同产生的数据：

    <div class="profile">

    <dl>

    <dt>$title</dt>

    <dd>$description</dd>

    </dl>

    </div>

    其中$title和$description代表了两个变量，用于输出一个由用户产生的标题和内容。以$title为例，如果$title中的内容是：<script>alert（1）</script> 那么运行后输出到浏览器端的内容即为：

    <div class="profile">

    <dl>

    <dt><script>alert（1）</script></dt>

    <dd>description</dd>

    </dl>

    </div>

    那么这段代码的结果只有一种可能：如大家所见会执行这段script，这当然不是开发者所期望的。这个页面我们就可以理解为被定制了。也许当你拿到了一个HOST可以信任的一个URL，但是很不幸这个URL已经被恶意的传播者通过XSS所定制，那么也许用户就可能会相信这个页面所输出的内容。那结果是可想而知的。为了预防这种情况。通常情况下WEB开发者会通过escape safe charactor 的方式解决（把 < 变成 <；  等）。但是这种预防只停留在通过转义让输出和显示与输入一致。

    这只是一种解决HTML注入的手段。从安全的角度出发，3bfK9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6A6i4K6u0W2P5r3W2S2L8$3#2A6i4K6u0W2j5$3!0E0 应该只允许显示来自 0e4K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6A6i4K6u0W2P5r3W2S2L8$3#2A6i4K6u0W2j5$3!0E0 的图片。同样的 https；://i.xiaomi.com 也只允许fd8K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6D9j5h3&6V1i4K6u0W2P5r3W2S2L8$3#2A6i4K6u0W2L8X3g2@1 域名下的资源去处理 eb3K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6A6i4K6u0W2P5r3W2S2L8$3#2Q4x3X3g2U0L8$3#2Q4c8e0c8Q4b7U0S2Q4z5p5q4Q4c8e0N6Q4z5f1q4Q4z5o6c8Q4c8e0c8Q4b7V1q4Q4z5p5u0Q4c8e0g2Q4z5p5q4Q4b7e0q4Q4c8e0y4Q4z5o6m8Q4z5o6u0Q4c8e0g2Q4z5f1k6Q4b7V1q4Q4c8e0c8Q4b7V1q4Q4z5p5g2Q4c8e0c8Q4b7V1u0Q4b7e0g2Q4c8e0c8Q4b7U0S2Q4z5p5q4Q4c8e0N6Q4z5f1q4Q4z5o6c8Q4c8e0g2Q4b7f1g2Q4z5o6W2Q4c8e0g2Q4z5o6g2Q4b7e0S2Q4c8e0W2Q4z5e0W2Q4z5e0m8Q4c8e0g2Q4z5o6S2Q4b7U0k6Q4c8e0g2Q4b7f1g2Q4z5f1q4Q4c8e0c8Q4b7U0S2Q4z5p5u0Q4c8f1k6Q4b7V1y4Q4z5p5y4Q4c8e0g2Q4z5f1y4Q4b7e0S2Q4c8e0N6Q4z5p5g2Q4b7U0m8Q4c8e0k6Q4z5f1y4Q4z5o6W2Q4c8e0k6Q4z5f1y4Q4b7V1q4Q4c8e0g2Q4z5o6S2Q4b7U0k6Q4c8e0S2Q4z5o6u0Q4b7f1k6Q4c8e0g2Q4b7f1g2Q4z5f1q4Q4c8e0k6Q4z5e0S2Q4b7f1k6Q4c8e0k6Q4b7V1u0Q4b7e0q4Q4c8e0S2Q4b7U0k6Q4b7U0y4Q4c8e0c8Q4b7U0S2Q4z5p5c8Q4c8e0c8Q4b7V1q4Q4z5o6k6Q4c8e0W2Q4z5f1y4Q4z5o6m8Q4c8e0k6Q4b7U0q4Q4z5o6u0Q4c8e0c8Q4b7V1q4Q4z5o6k6Q4c8e0y4Q4z5o6m8Q4z5o6u0Q4c8e0c8Q4b7U0S2Q4z5p5c8Q4c8e0S2Q4b7V1k6Q4z5o6N6Q4c8e0g2Q4b7U0W2Q4b7U0S2Q4c8e0g2Q4b7e0g2Q4b7V1c8i4x3@1y4Q4c8e0g2Q4z5p5k6Q4z5e0q4Q4c8e0g2Q4b7U0S2Q4z5o6y4Q4c8e0c8Q4b7V1q4Q4z5o6k6Q4c8e0g2Q4z5f1k6Q4b7V1q4Q4c8e0c8Q4b7V1q4Q4z5p5g2Q4c8e0S2Q4b7f1k6Q4b7e0g2Q4c8e0N6Q4b7e0N6Q4z5p5c8Q4c8e0g2Q4b7f1g2Q4z5o6W2Q4c8e0g2Q4z5o6g2Q4b7e0S2Q4c8e0W2Q4z5e0W2Q4z5e0m8Q4c8e0g2Q4b7f1g2Q4z5f1q4Q4c8e0N6Q4z5f1q4Q4z5o6c8Q4c8e0N6Q4z5f1q4Q4z5o6c8o6f1#2m8Q4c8e0S2Q4z5p5c8Q4z5o6W2Q4c8e0k6Q4b7e0q4Q4z5o6S2Q4c8e0y4Q4z5o6m8Q4z5o6u0Q4c8e0N6Q4z5f1u0Q4b7f1g2Q4c8e0g2Q4z5o6W2Q4z5p5c8Q4c8e0S2Q4b7f1k6Q4b7e0g2Q4c8e0S2Q4z5p5c8Q4z5o6W2Q4c8e0k6Q4b7e0q4Q4z5o6S2Q4c8e0S2Q4b7V1k6Q4z5e0S2Q4c8e0g2Q4b7e0c8Q4z5o6c8Q4c8e0c8Q4b7V1q4Q4z5p5g2Q4c8e0g2Q4b7f1g2Q4z5p5y4Q4c8e0g2Q4z5e0k6Q4z5o6c8Q4c8e0W2Q4z5e0S2Q4b7U0k6Q4c8e0k6Q4b7f1g2Q4b7U0g2Q4c8f1k6Q4b7V1y4Q4z5p5y4Q4c8e0S2Q4b7V1k6Q4z5e0W2Q4c8e0g2Q4b7U0m8Q4b7U0q4Q4c8e0k6Q4z5o6c8Q4z5p5k6Q4c8e0g2Q4z5e0q4Q4b7U0y4Q4c8e0N6Q4z5f1c8Q4z5o6m8Q4c8e0S2Q4b7f1k6Q4b7e0g2Q4c8e0S2Q4z5p5c8Q4z5o6W2Q4c8e0k6Q4b7e0q4Q4z5o6S2Q4c8e0W2Q4z5f1q4Q4z5p5k6Q4c8e0k6Q4z5e0N6Q4b7U0k6Q4c8e0W2Q4z5o6y4Q4b7V1c8Q4c8e0k6Q4z5f1y4Q4z5o6W2Q4c8e0g2Q4z5p5k6Q4b7f1k6Q4c8e0S2Q4z5o6y4Q4b7V1c8Q4c8e0S2Q4b7e0u0Q4b7f1u0Q4c8e0g2Q4z5o6g2Q4b7U0k6Q4c8e0c8Q4b7V1u0Q4z5e0k6Q4c8e0S2Q4b7e0N6Q4z5o6c8Q4c8e0S2Q4z5p5y4Q4z5o6y4Q4c8e0k6Q4z5o6S2Q4z5e0k6Q4c8e0S2Q4z5p5c8Q4z5o6W2Q4c8e0k6Q4b7e0q4Q4z5o6S2Q4c8e0k6Q4z5o6W2Q4z5o6m8Q4c8e0k6Q4z5f1u0Q4b7V1k6Q4c8e0c8Q4b7V1u0Q4b7e0y4Q4c8f1k6Q4b7V1y4Q4z5p5y4Q4c8e0g2Q4b7V1c8Q4z5e0y4Q4c8e0N6Q4z5o6c8Q4b7U0k6Q4c8e0c8Q4b7U0W2Q4z5f1k6Q4c8e0k6Q4z5f1y4Q4z5o6W2Q4c8e0g2Q4z5p5k6Q4b7f1k6Q4c8e0S2Q4z5o6y4Q4b7V1c8Q4c8e0k6Q4z5e0c8Q4b7V1g2Q4c8e0g2Q4b7V1y4Q4z5o6y4Q4c8e0y4Q4z5o6m8Q4z5o6u0Q4c8e0c8Q4b7U0S2Q4z5p5c8Q4c8e0S2Q4b7V1k6Q4z5o6N6u0c8e0p5H3i4@1f1@1i4@1u0n7i4@1p5#2i4@1f1#2i4K6S2r3i4K6S2m8g2$3g2T1K9$3W2@1i4@1f1#2i4@1t1%4i4@1t1J5i4@1f1%4i4@1u0n7i4K6S2r3i4@1f1$3i4K6W2o6i4K6R3&6i4@1f1#2i4@1q4r3i4@1t1&6i4@1f1^5i4@1q4r3i4@1p5#2i4@1f1^5i4K6S2p5i4K6R3&6i4@1f1$3i4@1p5I4i4K6R3^5i4@1f1%4i4K6W2m8i4K6R3@1i4@1f1#2i4@1q4q4i4K6W2q4i4@1f1%4i4K6S2q4i4@1t1H3i4@1g2r3i4@1u0o6i4K6S2o6i4@1f1$3i4K6W2o6i4K6R3&6i4@1f1@1i4@1u0m8i4K6R3$3i4@1f1$3i4@1t1#2i4K6S2r3i4@1f1^5i4@1p5%4i4K6R3^5i4@1f1#2i4K6V1&6i4@1p5^5i4@1f1#2i4K6S2q4i4K6R3J5i4@1f1#2i4K6V1#2i4K6R3$3i4@1f1$3i4K6V1@1i4@1q4r3i4@1f1$3i4K6S2o6i4K6R3I4i4@1g2r3i4@1u0o6i4K6S2o6i4@1f1^5i4@1u0r3i4K6V1&6i4@1f1@1i4@1u0m8i4K6S2n7i4@1f1#2i4@1t1H3i4@1t1I4i4@1f1&6i4K6W2p5i4@1p5H3i4@1f1^5i4@1t1H3i4@1t1I4i4@1f1@1i4@1u0m8i4K6R3$3i4@1f1K6i4K6R3H3i4K6R3J5

    什么是CSP？

    CSP是由单词 Content Security Policy 的首单词组成，该草案旨在减少（注意这里是减少而不是消灭哦～）一种内容注入，比如跨站脚本（可能是攻击哦～亲！）。CSP是一种由开发者定义的安全性政策性申明。前面几句说的太绕人了，说简单点就是通过CSP所约束的的规责指定可信的内容来源（这里的内容可以指脚本、图片、iframe、fton、style等等可能的远程的资源）。通过CSP协定，让WEB处于一个安全的运行环境中。

    如何应用

    CSP可以由两种方式指定：HTTP Header 和HTML.HTTP是在HTTP由增加Header来指定，而HTML级别则由Meta标签指定。CSP有两类：Content-Security-Policy 和 Content-Security-Policy-Report-Only.（大小写无关）

    HTTP header ：

    "Content-Security-Policy：" 策略

    "Content-Security-Policy-Report-Only：" 策略

    HTTP Content-Security-Policy 头可以指定一个或多个资源是安全的，而Content-Security-Policy-Report-Only则是允许服务器检查（非强制）一个策略。多个头的策略定义由优先采用最先定义的。（ 目前Firefox使用x-Content-Security-Policy，WebKit使用X-WebKit-CSP.或许在不久的将来草案最终确定下来之后会统一吧？）

    HTML Meta ：

    <meta http-equiv="content-security-policy" content="策略">

    <meta http-equiv="content-security-policy-report-only" content="策略">

    meta标签与HTTP头只是行式不同而作用是一致的。与HTTP 头一样，优先采用最先定义的策略。如果HTTP头与META定义同时存在，则优先采用HTTP中的定义。

    如果用户浏览器已经为当前文档执行了一个CSP的策略，则会跳过META的定义。如果META标签缺少 content 属性也同样会跳过。

    针对开发者草案中特别的提示一点：为了使用策略生效，应该将 meta 元素头放在开始位置，以防止提高人为的CSP策略注入。

    当然CSP草案还在完善之中，草案中也特别的提出了几点问题，比如应该约定一种META机制以确保文档不会被注入恶意的CSP规则。

    CSP语法

    CSP策略内容由一个 ； 分隔是若干个CSP指令（每条CSP指令的前后空格会被无视掉）：

    policy            = [ directive *（ "；" [ directive ] ） ]

    每一个CSP由一个 指令名 和 一个可选的指令值 组成

    directive         = *WSP [ directive-name [ WSP directive-value ] ]

    directive-name    = 1*（ ALPHA / DIGIT / "-" ）

    directive-value   = *（ WSP / <VCHAR except "；" and "，">

    CSP策略可以是一个指定的URL或是 协议（可选）+HOST+POST（可选）+路径（可选）的 指令。该指令说明了资源为安全的或非安全的。

    示例：

    1.只允许本站资源

    Content-Security-Policy： default-src ‘self’

    2.允许本站的资源以及任意位置的图片以及trustedscripts.example.com下的脚本。

     ；     Content-Security-Policy： default-src ‘self’； img-src *；

    script-src trustedscripts.example.com

    更多关于CSP的介绍可以参考W3C的相关文档： 0aeK9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6V1N6X3y4K6i4K6u0W2N6K6y4Q4x3X3g2G2M7X3N6Q4x3V1k6Z5k6#2)9J5c8X3y4G2L8Y4c8W2L8Y4c8Q4x3X3c8K6k6h3y4#2M7X3W2@1P5g2)9J5k6s2m8G2L8r3W2U0P5g2)9J5c8Y4u0S2N6#2)9J5k6r3k6A6L8r3g2Q4x3V1k6@1K9i4m8Q4x3V1k6U0M7%4m8Q4x3X3c8K6M7r3g2U0K9h3k6A6j5$3q4@1K9h3!0F1i4K6u0W2k6r3g2$3i4K6u0W2K9s2c8E0L8q4)9J5x3$3y4G2L8Y4c8W2L8Y4c8Q4x3X3c8K6k6h3y4#2M7X3W2@1P5g2)9J5k6s2m8G2L8r3W2U0P5g2)9J5k6r3S2W2j5h3c8W2M7W2)9J5k6r3k6A6k6h3I4V1

    一部分中文翻译：861K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6i4M7K6i4K6u0W2L8%4u0Y4i4K6u0r3K9s2c8E0L8q4)9J5c8X3W2Y4i4K6u0r3P5X3S2Q4x3V1k6%4K9h3E0A6i4K6u0r3b7#2y4b7

    关于CSP的讨论

    首先CSP的出现肯定可以一定程度上的减少XSS的攻击（因为攻击成本提高），但并不一定就意味着CSP普及了XSS攻击就没有了

[培训]科锐逆向工程师培训第53期2025年7月8日开班！