![](/img/trans.png)
[英]Can Tomcat 7 be configured to insert “Content-Security-Policy” HTTP header?
[英]Shall I use the Content-Security-Policy HTTP header for a backend API?
我們正在后端 API 上實施 HSTS,我偶然發現了內容安全策略 (CSP) 標頭。 此標頭告訴瀏覽器可以從何處下載圖像、視頻、樣式表、腳本等資源。
由於后端 API 不會真正在瀏覽器中顯示內容,設置此標頭的價值是什么?
CSP是一種旨在削弱xss攻擊的技術。 也就是說,它與依賴加載的其他資源的超媒體服務相結合是最有用的。 這不是我期望的 API 場景。 這並不是說你不能使用它。 如果您的回復中確實沒有交互式內容,則沒有什么可以阻止您提供此標題:
Content-Security-Policy: default-src 'none';
更進一步,您可以通過設置report-uri
以獲取傳入的違規報告,將CSP 用作某種臨時入侵檢測系統。 這完全符合預期用途,但仍然有點便宜。
總而言之,它理論上可以通過很少的努力提高您的 API 的安全性。 實際上,優勢可能微乎其微。 如果您願意,發送該標頭應該沒有害處。 不過,您可以通過例如抑制 MIME 類型的嗅探來獲得更多收益。
另請參閱: OWASP 安全標頭項目
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.