ContentSecurityPolicy是一种使用标头或元元素来限制或批准在指定网站上加载的内容的策略。这是一个得到广泛支持的安全标准,所有网站运营商都应该了解这一点。使用CSP通过声明允许或不允许的规则来为网站添加额外的保护层。这些规则有助于抵御内容注入和跨站点脚本(XSS)攻击,这是OWASP的十大Web应用程序安全风险中的两个。当攻击者能够通过注入恶意代码来破坏未受保护的网站时,就会发生XSS攻击。当用户尝试与站点交互时,恶意脚本会在用户的浏览器中执行,从而允许攻击者访问受害者与站点的交互,例如登录信息。CSP将阻止大多数脚本注入攻击的发生,因为它可以设置为限制JavaScript仅从受信任的位置加载。本文介绍一些基于frame-src指令的测试用例。作为容器,定义iframe的web应用,监听3000端口:wechat文件夹下嵌入另一个网页,监听3002端口,Jerrylist文件夹下:如果Jerrylist文件夹下的csphtml没有声明任何csp-relatedDirective(通过meta标签),iframe正常工作:测试1:3000个应用(即嵌入到3002个应用的web应用中)addframe-srcsourcecode:
