Fatal编程技术网
  • security/
  • Security connect src CSP的安全注意事项

Security connect src CSP的安全注意事项

security

Security connect src CSP的安全注意事项,security,content-security-policy,Security,Content Security Policy,我正在尝试构建如下所示的CSP策略: Content-Security-Policy: "default-src 'self'; script-src 'self' https://*.example.com; object-src 'none'; style-src 'self'; img-src 'self' 'unsafe-inline'; media-src 'self'; frame-src 'self' https://*.example.com; font-src 'se

我正在尝试构建如下所示的CSP策略:

Content-Security-Policy: "default-src 'self'; script-src 'self' https://*.example.com; object-src 'none'; style-src 'self'; img-src 'self' 'unsafe-inline'; media-src 'self'; frame-src 'self' https://*.example.com; font-src 'self'; connect-src *"
如果您注意到除connect src*外一切正常。
我们需要实现这一点,因为当我们加入需要不同端点连接的新服务时,我们看到了扩展问题。我想了解,如果我们允许连接到任何东西,但限制其他衍生产品,那么安全威胁是什么。

指令
connect src
涵盖了接口:

  • ping
  • 取回
  • XMLHttpRequest()
  • 发送信标()
  • 网袋
  • 事件源
“如果我们允许连接到所有东西,那么安全威胁是什么”取决于您如何在页面上使用通过connect获得的东西

即使我允许连接到所有内容,但我已经将scriptsrc设置为self,这是否意味着它将允许连接到所有内容,但脚本将被限制为self

否。
script src
指令仅涵盖脚本加载/执行的源<代码>脚本src'self'表示允许从加载页面本身的相同
方案:/domain:port_number
加载外部脚本

Fithermore,没有什么可以阻止您使用XMLHTTPRequest从任何源加载脚本(因为
connect src*
)并执行它。

此外,即使我允许连接到所有内容,但我已将script src设置为self,这是否意味着它将允许连接到所有内容,但脚本将被限制为self?