网站服务器安全维护 企业网站上应用内容安全策略 网络管理应用

2015-09-24 09:28 作者：admin 浏览量：

　　从安全的角度来看，精神体操必须通过服务器运行之后才会完美，此Web服务器证明了这一点。（北京网管外包）

　　目前使用的流行的工具有：NGINX，WordPress，新的文物，谷歌Analytics(分析)，谷歌广告词，Gravatar，脸谱等。CSP必须将这些都考虑在内。

　　CSP目前的头文件

　　让我们通过其中的一些来看看，并考虑一下威胁模型。默认的SRC指令让我们知道如何利用JavaScript的默认来源。在这里，我们自己只是'白名单'。

　　default-src 'self';

　　接下来是脚本SRC指令，是在告诉浏览器正在加载JavaScript是安全的。它能保护我们免受攻击，这真的很神奇。下面是白名单的新遗物，其中一个例子包括了nr-data.com来源的。更可怕的是*.wp.com，*.gravatar.com和一些网站可能不会控制主机用户的数据但其子域却经常变化。

　　script-src 'self' 'unsafe-inline' 'unsafe-eval' https://js-agent.newrelic.com

　　https://*.nr-data.net https://*.wp.com https://*.gravatar.com https://*.wp.com

　　https://pagead2.googlesyndication.com https://ssl.google-analytics.com

　　https://connect.facebook.net https://www.google-analytics.com

　　https://cdnjs.cloudflare.com https://ajax.cloudflare.com;

　　接下来的指令是“IMG-SRC”，这是在告诉浏览器加载的图片是安全的。出于某种原因，WordPress使用*.w.org和*.wp.com的链接的时间缩短了。(网络维护外包)

　　img-src 'self' data: https://wordpress.org https://*.w.org https://*.gravatar.com https://*.wp.com https://ssl.google-analytics.com https://s-static.ak.facebook.com https://www.google-analytics.com;

　　Style-src是我们的样式表，这里要注意些东西。

　　style-src 'self' 'unsafe-inline' https://*.wp.com https://*.gravatar.com https://fonts.googleapis.com;

　　字体来源是我们在这个网站上的网页字体，你有时还可以在这里发现adobe。

　　font-src 'self' data: https://fonts.gstatic.com https://themes.googleusercontent.com;

　　SRC的框架让我们知道它是安全的负荷框架，虽然网站只有Facebook，双击和*.wp.com被使用。(it外包)

　　frame-src 'self' https://*.wp.com https://*.doubleclick.net https://www.facebook.com https://s-static.ak.facebook.com;

　　Object-src是针对对象的，但在这里没有提到对象。

　　object-src 'none'";

  （未完 待续）

　　艾锑无限是中国领先IT外包服务商，专业为企业提供IT运维外包、电脑维护、网络维护、网络布线、办公设备维护、服务器维护、数据备份恢复、门禁监控、网站建设等多项IT服务外包,服务热线：400-650-7820 联系电话：010-62684652 咨询QQ1548853602 地址：北京市海淀区北京科技会展2号楼16D,用心服务每一天，为企业的发展提升更高的效率，创造更大的价值。

　　更多的IT外包信息尽在艾锑无限http://www.itbmw.com