强制执行内容安全策略和仅 CSP 报告之间的区别
Difference between enforce Content security policy and CSP report only
我正在研究要添加到我的页面的内容安全策略。我对术语强制执行 CSP 和仅 CSP 报告感到困惑。这两者有什么区别以及它们有什么用。
CSP 对内容来源和特定操作施加了一些限制。由于这有可能破坏很多功能,因此还有一种仅报告模式,可以将其视为一种测试模式。在仅报告中,您会收到相同的关于违规的浏览器错误,它们只是不强制执行并标记为仅报告。对于有效的仅报告 CSP,您必须定义一个 report-uri 以将报告发送到。从真实用户那里收集一段时间的报告将在切换到强制模式之前确定您的策略存在的问题。但是由于代理重写、浏览器扩展、恶意软件等,您也可能会得到一些误报。仅报告不提供任何保护,违规行为只会对查看开发工具的用户可见。严格执行 CSP 对于保护您的用户免受 XSS 和点击劫持等多种 Web 攻击至关重要。
我正在研究要添加到我的页面的内容安全策略。我对术语强制执行 CSP 和仅 CSP 报告感到困惑。这两者有什么区别以及它们有什么用。
CSP 对内容来源和特定操作施加了一些限制。由于这有可能破坏很多功能,因此还有一种仅报告模式,可以将其视为一种测试模式。在仅报告中,您会收到相同的关于违规的浏览器错误,它们只是不强制执行并标记为仅报告。对于有效的仅报告 CSP,您必须定义一个 report-uri 以将报告发送到。从真实用户那里收集一段时间的报告将在切换到强制模式之前确定您的策略存在的问题。但是由于代理重写、浏览器扩展、恶意软件等,您也可能会得到一些误报。仅报告不提供任何保护,违规行为只会对查看开发工具的用户可见。严格执行 CSP 对于保护您的用户免受 XSS 和点击劫持等多种 Web 攻击至关重要。