CSP 內容安全策略詳解這個話題社群討論了很多次,但隨著版本迭代,很多結論需要更新。本文基於最新版本重新梳理。
入門指南
實際專案中的用法會更復雜一些:
javascript
function setCSP(req, res, next) {
const nonce = crypto.randomBytes(16).toString('base64')
res.setHeader('Content-Security-Policy', [
"default-src 'self'",
`script-src 'self' 'nonce-${nonce}'`,
"style-src 'self' 'unsafe-inline'",
"img-src 'self' data: https:",
"connect-src 'self' https://api.example.com",
"frame-ancestors 'none'"
].join('; '))
next()
}
通過這種方式,程式碼的可測試性和可擴充套件性都得到了提升。
原始碼分析
以下是一個完整的示例:
javascript
function setCSP(req, res, next) {
const nonce = crypto.randomBytes(16).toString('base64')
res.setHeader('Content-Security-Policy', [
"default-src 'self'",
`script-src 'self' 'nonce-${nonce}'`,
"style-src 'self' 'unsafe-inline'",
"img-src 'self' data: https:",
"connect-src 'self' https://api.example.com",
"frame-ancestors 'none'"
].join('; '))
next()
}
注意邊界條件處理,這在生產環境中至關重要。
真實場景應用
關鍵在於理解核心邏輯:
javascript
function setCSP(req, res, next) {
const nonce = crypto.randomBytes(16).toString('base64')
res.setHeader('Content-Security-Policy', [
"default-src 'self'",
`script-src 'self' 'nonce-${nonce}'`,
"style-src 'self' 'unsafe-inline'",
"img-src 'self' data: https:",
"connect-src 'self' https://api.example.com",
"frame-ancestors 'none'"
].join('; '))
next()
}
效能最佳化需要結合具體場景,不是所有情況都需要過度最佳化。
最佳化技巧
我們可以通過以下方式來改進:
javascript
function setCSP(req, res, next) {
const nonce = crypto.randomBytes(16).toString('base64')
res.setHeader('Content-Security-Policy', [
"default-src 'self'",
`script-src 'self' 'nonce-${nonce}'`,
"style-src 'self' 'unsafe-inline'",
"img-src 'self' data: https:",
"connect-src 'self' https://api.example.com",
"frame-ancestors 'none'"
].join('; '))
next()
}
這套方案已經在線上穩定運行了半年以上,經過了實際驗證。
小結
- CSP 內容安全策略詳解不是銀彈,需要根據專案規模和技術棧選擇
- 理解底層原理比記住 API 更重要
- 生產環境使用前務必做好相容性驗證
- 團隊協作中約定和文件比技術本身更重要
- 關注社群動態,技術方案需要持續迭代