安全防御第三方攻击
重要提示:本文档不适用于您当前选择的格式 电子邮件!
采取措施保护您的站点和用户免受网络安全漏洞的侵害。其中最险恶的一种是跨站脚本 (XSS)。XSS 是一种安全漏洞,可能允许攻击者将恶意代码注入到显示给用户的 HTML 页面上。
通过采用内容安全策略 (CSP)来防范此类攻击。像 Google AMP 缓存这样的 AMP 缓存已经将 CSP 添加到您的页面!但是,当用户绕过缓存版本时,如果未添加您自己的 CSP,页面将缺少这一额外的保护层。
实施 AMP 的 CSP
通过将适当的 meta 标签添加到页面的 head 中来实现 CSP。以下是 AMP 的 CSP,只允许将 AMP 脚本注入到您的页面
<meta
http-equiv="Content-Security-Policy"
content="default-src * data: blob:; script-src blob: https://cdn.ampproject.org/v0.js https://cdn.ampproject.org/v0/ https://cdn.ampproject.org/viewer/ https://cdn.ampproject.org/rtv/; object-src 'none'; style-src 'unsafe-inline' https://cdn.ampproject.org/rtv/ https://cdn.materialdesignicons.com https://cloud.typography.com https://fast.fonts.net https://fonts.googleapis.com https://maxcdn.bootstrapcdn.com https://p.typekit.net https://use.fontawesome.com https://use.typekit.net; report-uri https://csp-collector.appspot.com/csp/amp"
/>
在此处了解有关保护安全漏洞和 CSP 的更多信息。
-
作者: @CrystalOnScript