網站服務器安全維護 企業網站上應用內容安全策略 網絡管理應用

2015-09-24 09:28 作者：admin 瀏覽量：

　　從安全的角度來看，精神體操必須通過服務器運行之后才會完美，此Web服務器證明了這一點。（北京網管外包）

　　目前使用的流行的工具有：NGINX，WordPress，新的文物，谷歌Analytics(分析)，谷歌廣告詞，Gravatar，臉譜等。CSP必須將這些都考慮在內。

　　CSP目前的頭文件

　　讓我們通過其中的一些來看看，并考慮一下威脅模型。默認的SRC指令讓我們知道如何利用JavaScript的默認來源。在這里，我們自己只是'白名單'。

　　default-src 'self';

　　接下來是腳本SRC指令，是在告訴瀏覽器正在加載JavaScript是安全的。它能保護我們免受攻擊，這真的很神奇。下面是白名單的新遺物，其中一個例子包括了nr-data.com來源的。更可怕的是*.wp.com，*.gravatar.com和一些網站可能不會控制主機用戶的數據但其子域卻經常變化。

　　script-src 'self' 'unsafe-inline' 'unsafe-eval' https://js-agent.newrelic.com

　　https://*.nr-data.net https://*.wp.com https://*.gravatar.com https://*.wp.com

　　https://pagead2.googlesyndication.com https://ssl.google-analytics.com

　　https://connect.facebook.net https://www.google-analytics.com

　　https://cdnjs.cloudflare.com https://ajax.cloudflare.com;

　　接下來的指令是“IMG-SRC”，這是在告訴瀏覽器加載的圖片是安全的。出于某種原因，WordPress使用*.w.org和*.wp.com的鏈接的時間縮短了。(網絡維護外包)

　　img-src 'self' data: https://wordpress.org https://*.w.org https://*.gravatar.com https://*.wp.com https://ssl.google-analytics.com https://s-static.ak.facebook.com https://www.google-analytics.com;

　　Style-src是我們的樣式表，這里要注意些東西。

　　style-src 'self' 'unsafe-inline' https://*.wp.com https://*.gravatar.com https://fonts.googleapis.com;

　　字體來源是我們在這個網站上的網頁字體，你有時還可以在這里發現adobe。

　　font-src 'self' data: https://fonts.gstatic.com https://themes.googleusercontent.com;

　　SRC的框架讓我們知道它是安全的負荷框架，雖然網站只有Facebook，雙擊和*.wp.com被使用。(it外包)

　　frame-src 'self' https://*.wp.com https://*.doubleclick.net https://www.facebook.com https://s-static.ak.facebook.com;

　　Object-src是針對對象的，但在這里沒有提到對象。

　　object-src 'none'";

  （未完 待續）

　　艾銻無限是中國領先IT外包服務商，專業為企業提供IT運維外包、電腦維護、網絡維護、網絡布線、辦公設備維護、服務器維護、數據備份恢復、門禁監控、網站建設等多項IT服務外包,服務熱線：400-650-7820 聯系電話：010-62684652 咨詢QQ1548853602 地址：北京市海淀區北京科技會展2號樓16D,用心服務每一天，為企業的發展提升更高的效率，創造更大的價值。

　　更多的IT外包信息盡在艾銻無限http://www.richjn.cn