Nginx 添加 Content-Security-Policy

This topic created in 3564 days ago, the information mentioned may be changed or developed.

之前在 /t/297580 这个帖子问过，如果网站并没有开启 https ， css 和 js 都是 https ，那么问题来了，会不会被劫持插一些恶心的东西？然后 @ZE3kr 这位朋友说可以使用 Content-Security-Policy ，我今天发现我的站，在 Mac 表示没有被插入东西，然后在 Windows 下发现被插入了一条<script async src="http://c.cnzz.com/core.php"></script>（两个平台使用的浏览器都是 Chrome ），我在 Nginx server 段添加了 Content-Security-Policy ，我也不知道对不对，麻烦懂的朋友给看下吧。

打码部分是域名。

插入

打码

Nginx

Async

10 replies 2019-07-16 22:24:06 +08:00

qcloud

Aug 13, 2016

@ZE3kr

pubby

Aug 13, 2016

既然能修改你页面数据，那么删掉你的 Content-Security-Policy 头也不是难事

qcloud

Aug 13, 2016

@pubby 那咋办

pubby

Aug 13, 2016 via Android

开 https 啊

virusdefender

Aug 13, 2016

再加一个 report-uri ，可以统计劫持情况。

2 楼说的情况，感觉出现几率不大，除非专门针对你。

qcloud

Aug 13, 2016

@pubby CDN 系统没有 http2 。。。

qcloud

Aug 13, 2016

@virusdefender 目前这个写的对吗？我没测试出效果，我想明天看看

pubby

Aug 13, 2016

虽然删你这个 header 几率不大，但是没有 https 始终治标不治本

可能对方插入的 js 就是用你允许的域名，比如 src=http://you.allowed.com/xxx.js

然后再劫持 http://you.allowed.com/xxx.js
或者干脆不用外部资源，直接把所有东西塞入页面代码里面

wdlth

Aug 14, 2016

有的运营商会直接改 jQuery 等.js 文件，黑得很……

hackgyj

Jul 16, 2019

https://www.uedbox.com/post/56310/