我们正在后端 API 上实现 HSTS,我偶然发现了内容安全策略 (CSP) 标头。此标头告诉浏览器可以从哪里下载图像、视频、样式表、脚本等资源。
由于后端 API 不会真正在浏览器中显示内容,那么设置此标头有什么价值?
问问题
10210 次
1 回答
32
CSP是一种旨在削弱xss攻击的技术。也就是说,它与依赖于加载它的其他资源的服务超媒体结合使用是最有用的。这不完全是我对 API 的期望。这并不是说你不能使用它。如果您的回复中确实没有交互式内容,那么没有什么可以阻止您提供此标头:
Content-Security-Policy: default-src 'none';
更进一步,您可以将 CSP 用作某种临时入侵检测系统,通过设置report-uri来获取传入的违规报告。这在预期用途范围内,但仍然有点便宜。
总之,理论上它可以通过很少的努力提高你的 API 的安全性。实际上,优势可能微乎其微。如果您愿意,发送该标头应该没有害处。但是,您可以通过例如抑制 MIME 类型的嗅探来获得更多收益。
另请参阅:OWASP 安全标头项目
于 2017-08-11T09:11:23.360 回答