@
2年前 提问
1个回答

什么是内容安全策略?

齐士忠
2年前

内容安全策略 (CSP) 是 Web 开发人员提高网站安全性的一种机制。通过设置内容安全策略,Web 开发人员可以指示 Web 浏览器仅加载来自某些受信任域的资源,强制执行安全的 HTTPS 连接,甚至在发生策略违规时报告。这可以防止许多内容注入和跨站点脚本 (XSS) 漏洞,这些漏洞通常会导致数据泄漏、网站破坏和恶意软件分发。

防火墙不仅能够基于区域、IP 地址、端口号、应用程序等设置安全策略,还可以使用内容安全策略进行通信控制。内容安全策略包括反病毒IPS(入侵防御系统)、URL 过滤DLP(数据泄露防护)等基于内容的安全机制,能够拦截非法通信和避免不必要的通信流量。还可以对这些通信不进行拦截,而是记录到告警日志中后放行。

安全设备的默认设置是拦截严重程度高的攻击,严重程度低的攻击只记录到告警日志中。当然,严重程度的高低可以自定义,也可以修改设置为拦截严重程度低的攻击。

反病毒和 IPS 可能会出现误判,误判分为假阳性错误假阴性错误两种。

假阳性错误是没有攻击行为或病毒入侵,但是被判定为攻击行为或病毒入侵,并记录到日志中,或把通信拦截。这类错误,用户容易察觉。

假阴性错误是存在攻击行为,却判定没有攻击行为,而允许通信,也没有记录到日志中,无法察觉到严重后果。只有 PC 上安装反病毒软件或防火墙软件,才能找到没有被识别的攻击行为。这种错误一般是由于数字签名本身不存在,或误认为数字签名存在而导致的检测失败。