我已经阅读了所有官方动机为什么它是自切片面包以来最好的东西,但实际上,如果它可以被浏览器扩展、浏览器设置甚至浏览器默认设置/配置/功能/属性或代理禁用和/或更改?
如果有人真的想定位您的网站,他们为什么不禁用它或使用自定义方式连接到您的网站?
抱歉,这不是特定的代码问题。我倒是想知道为什么人们应该首先考虑实施这一点?上帝知道语法并非微不足道,并且严重缺乏功能,这让您在允许危险行为或限制站点功能之间做出选择,而无法以安全的方式保留功能。
如果有人真的想定位您的网站,他们为什么不禁用它或使用自定义方式连接到您的网站?
他们可能会,但这不是 CSP 保护的对象。
很多网站黑客都是这样的:Bad Guy hacks site。Innocent Victim 访问站点,并被 Bad Guy 的有效载荷击中。在这种情况下,CSP 致力于保护受害者,而不是防止坏人进入。(其他安全措施会处理初始攻击。)
另请注意,“受害者”可能是您的网站,如果您从第三方网站(例如 PayPal 或 Google)获取功能,因为如果其中一个人遭到黑客攻击,您网站上的 CSP 会说“嘿,这是不允许的”。几个月前有一个服务提供商(忘记谁)的重大黑客攻击,攻击了大量网站,因为他们都从那个网站绘制代码。客户站点本可以通过一行 CSP 来防止其客户受害,这些 CSP 会识别提供者代码无效
本文收集自互联网,转载请注明来源。
如有侵权,请联系 [email protected] 删除。
我来说两句