论文部分内容阅读
编者按:很多人认为,互联网在传递信息的同时也传递着威胁和安全隐患。而Web网站24小时在互联网上开放某些端口、提供相关服务,同时,全球的Web站点不胜枚举、应有尽有。所以,Web网站也成为最容易被攻击者利用的目标。本期的两篇文章,一篇是关于浏览器的内容安全策略头(CSP,Content Security Policy)的技术文章,另一篇则是企业对Web安全网关的应用案例,两个侧面、两个维度,为读者提供应对普遍存在,甚至就发生在身边的Web安全威胁的思路。
2013年11月,Veracode给出的报告指出,全球前一百万个网站中仅有269个网站使用了W3C规范的内容安全策略头(CSP,Content Security Policy)。ZoomEye在2014年2月给出的测试报告中,中国排名前7千的域名没有使用CSP的,国内1000的域名(含子域名)中仅发现7个使用了CSP策略,其中还有3个网站CSP出现语法使用错误。
如果说CSP是一个伟大的安全策略,为何全球范围内网站使用率如此之低?是CSP自身的设计存在问题,还是网站管理员们没有去充分了解和利用它?CSP到底是一个什么样的安全策略,是像人们普遍说的它是XSS攻击的终结者吗?
带着以上的疑问,本文将从CSP的概念、发展时间轴、语法使用、如何正确部署CSP、CSP的自有特性、如何利用CSP产生攻击报告、CSP当前使用率、Bypass CSP等众多方面,来给大家全面介绍CSP这个伟大而又被忽视的安全策略。
CSP是以可信白名单作机制,限制网站中是否可以包含某来源内容。默认配置下不允许执行内联代码(
内联事件
内联样式
2013年11月,Veracode给出的报告指出,全球前一百万个网站中仅有269个网站使用了W3C规范的内容安全策略头(CSP,Content Security Policy)。ZoomEye在2014年2月给出的测试报告中,中国排名前7千的域名没有使用CSP的,国内1000的域名(含子域名)中仅发现7个使用了CSP策略,其中还有3个网站CSP出现语法使用错误。
如果说CSP是一个伟大的安全策略,为何全球范围内网站使用率如此之低?是CSP自身的设计存在问题,还是网站管理员们没有去充分了解和利用它?CSP到底是一个什么样的安全策略,是像人们普遍说的它是XSS攻击的终结者吗?
带着以上的疑问,本文将从CSP的概念、发展时间轴、语法使用、如何正确部署CSP、CSP的自有特性、如何利用CSP产生攻击报告、CSP当前使用率、Bypass CSP等众多方面,来给大家全面介绍CSP这个伟大而又被忽视的安全策略。
CSP是以可信白名单作机制,限制网站中是否可以包含某来源内容。默认配置下不允许执行内联代码(
内联事件
内联样式
window.setInterval("alert(’hi’)", 10);
new Function("return foo.bar.baz");
如果想执行可以把字符串转换为内联函数去执行。
alert(foo
new Function("return foo.bar.baz");
如果想执行可以把字符串转换为内联函数去执行。
alert(foo
其他文献
华三通信的大互联概念即通过全场景、融合交付、泛联接的“Connect ”网络,实现人、设备、应用和数据的全连接,目标正是瞄准了当前用户网络面临的新问题。 在实现“互联网 ”这一战略的过程中,用户为了应对各种创新业务模式带来的变化,其网络基础架构普遍面临着形态创新、快速交付、按需分配等挑战。未来网络基础架构发展的路径到底在何方? 杭州华三通信技术有限公司(简称华三通信)给出了自己的诠释。11月1
互联网 传统广告=百度,互联网 百货公司=京东,互联网 传统集市=淘宝,互联网 园区=? 答案是:O’Park。 在中国经济从高速增长进入中高速增长新常态的背景下,“互联网 ”概念频频被频频提及。这一概念,不再是仅仅通过互联网寻找传统产业,更是利用“互联网 ”无所不在的计算、数据、知识,进行创新,推动知识社会以用户创新、开放创新、大众创新、协同创新为特点的创新2.0,改变我们的生产、工作、生活
IDC的数据显示,2011年,国产存储所占的市场份额只有17%,到2015年第一季度,这一比例提高到49%,尽管有了很大提升,但与国产服务器所占近七成的市场份额相比还是有较大的差距。不过,这也从另一方面显示出,国产存储市场还有很大潜力可挖。 浪潮集团副总裁彭震在谈到浪潮存储业务时说了这样一句话:“我们以前一直没有在存储市场上主动发力。”不过,即使在没有主动发力的情况下,浪潮存储已经在2014年取
思科近日宣布进一步推进其无处不在的安全战略,将其范畴扩大至云、网络和终端领域,以帮助企业更出色地完成数字转型。为支持这一战略性举措,思科同时宣布推出全新的安全产品和功能,以及一项强大的威胁感知服务。 思科架构致力于为包括路由器、交换机和数据中心在内的整个扩展网络带来嵌入式安全功能,旨在消除攻击漏洞,显著缩短检测和修复时间。 具体而言,思科新增了Cloud Access Security(CAS
网络攻击逐渐向应用层转移,安全与业务系统的融合至关重要。东软集团副总裁兼网络安全事业部总经理杨纪文揭示了安全与业务系统融合的新趋势。 “我们看到国内的网络安全市场越来越好。”东软集团副总裁兼网络安全事业部总经理杨纪文开门见山地告诉记者。 随着社会各界网络安全意识的提升,企业和政府用户的网络安全需求也越来越多,谁能迅速把握住这些需求,意味着谁将占领这一市场,快速发展。杨纪文告诉记者,东软安全的最
优酷土豆集团总裁古永锵近日表示,2013年视频行业已经进入移动营销元年,移动营销增长非常迅速。目前树立移动视频营销标准成为视频行业企业应该共同努力的首要目标。古永锵称视频行业竞争激烈,企业必须要在某一个领域有自己的核心竞争力。视频行业已经进入品牌时代,内容市场定位差异化日益显现。他认为,通过整合能够使行业更集中,监督管理更加可控。
招商局 百年国匠 始于1872 说起招商局,就要先说起一个词“梦想”。140余年来,它一直是招商局集团前进和发展的核心动力。招商局的发展史,就是一部梦想的践行、实现史,国家、产业、企业的发展之梦,一直指引着招商局,在历史的长河中破浪前行。 1872年,是招商局梦想的起航。当时国家羸弱、内忧外患,李鸿章等一批有志之士,提出“师夷长技以制夷”的口号,开办招商局,坚定地践行强国梦想。近代第一支商船
本报讯 9月1日,团中央建设的面向全国青年的大型社交互动平台“青年之声”V3.0云平台正式上线,它既具备大型社交网站的通用功能,具备独有的共青团特色功能,广大青年可以点名邀请进驻平台的全国近4000位专家,提供跨地域、跨层级的专业化解答。据悉,“青年之声”大型公益互动社交平台,是“互联网 共青团”的积极探索,是共青团改革创新的重要举措。据团中央网络影视中心技术中心负责人介绍,“青年之声”V3.0云
本报讯 4月11日,云巢科技正式宣布推出桌面云租赁业务,并将该业务命名为“阳光租赁”,新域名同步启用。 桌面云行业竞争日趋激烈,蓝海逐渐向红海转变。云巢此番强势出击,无异于在桌面云市场投下一枚重磅炸弹。云巢桌面云产品已经得到市场的高度认可。为进一步降低桌面云的应用门槛,使更多用户提前步入云计算时代,云巢正式推出“阳光租赁”业务。 为此云巢筹集40亿元资金,以租赁模式为支点,彻底颠覆桌面云传统营