如何在 HTML 中添加 CSP 策略

• 服务器端配置：在服务器端，可以使用各种服务器软件来设置Content - Security - Policy头信息。例如，在Node.js的Express框架中，可以这样设置：

  const express = require('express');
  const app = express();
  app.use((req, res, next) => {
         
    res.setHeader('Content - Security - Policy', 'default - src \'self\'; script - src \'self\';');
    next();
  });
  // 其他路由和中间件配置
  app.listen(3000, () => {
         
    console.log('Server started on port 3000');
  });
  

• 上述代码在Express应用的中间件中，通过res.setHeader方法为每个响应设置了CSP策略。这个策略规定默认资源（default - src）和脚本资源（script - src）都只能从当前网站自身（self）加载。在其他服务器环境中，如Apache和Nginx，也有相应的配置方法。
  • Apache配置：可以使用mod_headers模块来设置CSP头信息。在服务器配置文件（如httpd.conf或虚拟主机配置文件）中添加以下内容：

    <IfModule mod_headers.c>
    Header set Content - Security - Policy "default - src 'self'; script - src 'self';"
    </IfModule>
    

  • Nginx配置：在Nginx的服务器配置块或server块中，可以这样设置：

    add_header Content - Security - Policy "default - src 'self'; script - src 'self';";
    

通过HTML的<meta>标签添加CSP策略

• 语法格式：在HTML文档的<head>部分，可以使用<meta>标签来设置CSP策略。格式如下：

  <meta http - equiv="Content - Security - Policy" content="default - src 'self'; script - src 'self';">
  

• 这种方法相对简单，不需要服务器端的特殊配置，但是它的优先级低于通过HTTP头信息设置的CSP策略。如果同时通过HTTP头和<meta>标签设置了CSP策略，浏览器会优先采用HTTP头信息中的策略。并且，不是所有的浏览器都完全支持通过<meta>标签设置CSP策略，不过大多数现代浏览器都支持。

策略的测试与验证

• 浏览器控制台检查：在设置好CSP策略后，可以通过浏览器的控制台来检查策略是否生效。如果浏览器阻止了不符合CSP策略的资源加载，通常会在控制台显示相关的错误信息。例如，如果一个脚本试图从被禁止的来源加载，控制台可能会显示类似于“Content Security Policy: The script from 'https://untrusted - source.com' was blocked”的信息。
• 使用在线工具和框架测试：有一些在线工具可以帮助测试CSP策略的有效性，如CSP Evaluator等。此外，一些安全框架也提供了测试CSP策略的功能，可以利用这些工具来确保CSP策略能够有效地防止各种安全威胁。