V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
qcloud
V2EX  ›  问与答

Nginx 添加 Content-Security-Policy

  •  
  •   qcloud · 2016-08-13 21:29:04 +08:00 · 6572 次点击
    这是一个创建于 3019 天前的主题,其中的信息可能已经有所发展或是发生改变。
    之前在 /t/297580 这个帖子问过,如果网站并没有开启 https , css 和 js 都是 https ,那么问题来了,会不会被劫持插一些恶心的东西?然后 @ZE3kr 这位朋友说可以使用 Content-Security-Policy ,我今天发现我的站,在 Mac 表示没有被插入东西,然后在 Windows 下发现被插入了一条<script async src="http://c.cnzz.com/core.php"></script>(两个平台使用的浏览器都是 Chrome ),我在 Nginx server 段添加了 Content-Security-Policy ,我也不知道对不对,麻烦懂的朋友给看下吧。

    打码部分是域名。
    10 条回复    2019-07-16 22:24:06 +08:00
    qcloud
        1
    qcloud  
    OP
       2016-08-13 21:31:59 +08:00
    pubby
        2
    pubby  
       2016-08-13 21:59:20 +08:00
    既然能修改你页面数据,那么删掉你的 Content-Security-Policy 头也不是难事
    qcloud
        3
    qcloud  
    OP
       2016-08-13 22:19:25 +08:00
    @pubby 😂那咋办
    pubby
        4
    pubby  
       2016-08-13 22:30:52 +08:00 via Android
    开 https 啊
    virusdefender
        5
    virusdefender  
       2016-08-13 22:33:04 +08:00
    再加一个 report-uri ,可以统计劫持情况。

    2 楼说的情况,感觉出现几率不大,除非专门针对你。
    qcloud
        6
    qcloud  
    OP
       2016-08-13 23:00:59 +08:00
    @pubby CDN 系统没有 http2 。。。
    qcloud
        7
    qcloud  
    OP
       2016-08-13 23:01:34 +08:00
    @virusdefender 目前这个写的对吗?我没测试出效果,我想明天看看
    pubby
        8
    pubby  
       2016-08-13 23:06:46 +08:00
    虽然删你这个 header 几率不大,但是没有 https 始终治标不治本

    可能对方插入的 js 就是用你允许的域名,比如 src=http://you.allowed.com/xxx.js

    然后再劫持 http://you.allowed.com/xxx.js
    或者干脆不用外部资源,直接把所有东西塞入页面代码里面
    wdlth
        9
    wdlth  
       2016-08-14 17:46:45 +08:00
    有的运营商会直接改 jQuery 等.js 文件,黑得很……
    hackgyj
        10
    hackgyj  
       2019-07-16 22:24:06 +08:00
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1062 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 22ms · UTC 22:33 · PVG 06:33 · LAX 14:33 · JFK 17:33
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.