一、從兩個(gè)工具說起

最近Google又推出了兩款有關(guān)CSP利用的小工具,其一為CSP Evaluator,這是一個(gè)能夠評估你當(dāng)前輸入的CSP能否幫助你有效避免XSS攻擊的工具,其用法非常簡單,在輸入框中輸入你當(dāng)前設(shè)置或?qū)⒁O(shè)置的CSP值,選擇需要驗(yàn)證的CSP版本,然后按下“CHECK CSP”即可。不知道CSP是什么的同學(xué),可以看下阿里聚安全博客以前推送的一篇文章《Content Security Policy 入門教程》

下面的列表中會(huì)給出評估工具對你輸入CSP的安全性評估,所有條目用不同顏色標(biāo)記了可能的影響程度。并且每個(gè)條目都可以單擊展開詳情,以按照建議修復(fù)可能存在的缺陷。如圖:

CSP Evaluator還存在一個(gè)Chrome插件版本,同樣易于使用。在使用了CSP的網(wǎng)站上單擊擴(kuò)展圖標(biāo)就可以自動(dòng)對當(dāng)前頁面的CSP進(jìn)行評估。

另一款工具為CSP Mitigator,這款Chrome插件允許您將自定義CSP策略應(yīng)用于應(yīng)用程序。 它可以幫助您了解啟用CSP的后果,識別與您的策略不兼容的應(yīng)用程序部分,并指導(dǎo)您在部署前進(jìn)行任何必要的更改。效果圖在Chrome商店中有,這里就不再贅述了。

可以看到,Google仍然在不遺余力地推行CSP的發(fā)展與應(yīng)用。在CSP Eval