[英]Shall I use the Content-Security-Policy HTTP header for a backend API?
我們正在后端 API 上實施 HSTS,我偶然發現了內容安全策略 (CSP) 標頭。 此標頭告訴瀏覽器可以從何處下載圖像、視頻、樣式表、腳本等資源。
由於后端 API 不會真正在瀏覽器中顯示內容,設置此標頭的價值是什么?
CSP是一種旨在削弱xss攻擊的技術。 也就是說,它與依賴加載的其他資源的超媒體服務相結合是最有用的。 這不是我期望的 API 場景。 這並不是說你不能使用它。 如果您的回復中確實沒有交互式內容,則沒有什么可以阻止您提供此標題:
Content-Security-Policy: default-src 'none';
更進一步,您可以通過設置report-uri以獲取傳入的違規報告,將CSP 用作某種臨時入侵檢測系統。 這完全符合預期用途,但仍然有點便宜。
總而言之,它理論上可以通過很少的努力提高您的 API 的安全性。 實際上,優勢可能微乎其微。 如果您願意,發送該標頭應該沒有害處。 不過,您可以通過例如抑制 MIME 類型的嗅探來獲得更多收益。
另請參閱: OWASP 安全標頭項目
Tomcat 7 可以配置為插入“Content-Security-Policy”HTTP 標頭嗎?
[英]Can Tomcat 7 be configured to insert “Content-Security-Policy” HTTP header?
Content-Security-Policy HTTP標頭不適用於script-src
[英]Content-Security-Policy HTTP header not working properly for script-src
預告片標頭中的 Content-Security-Policy 標頭不起作用
[英]Content-Security-Policy Header in trailer header isn't working
HTTP Content-Security-Policy 是按頁面還是按 GET 設置的?
[英]Is HTTP Content-Security-Policy set per page or per GET?
如何通過 Content-Security-Policy 允許在 HTML 元素屬性中使用 `javascript:void(0)`?
[英]How do I allow `javascript:void(0)` for use in HTML element attributes through Content-Security-Policy?
Content-Security-Policy 標頭是否僅適用於 text/html Content-Type?
[英]Is Content-Security-Policy header applicable only for text/html Content-Type?
X-Frame-Options和Content-Security-Policy標頭之間的安全性差異?
[英]Security difference between X-Frame-Options and Content-Security-Policy headers?
Content-Security-Policy 如何與 X-Frame-Options 一起使用?
[英]How does Content-Security-Policy work with X-Frame-Options?
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.