一、從兩個工具說起

最近Google又推出了兩款有關CSP利用的小工具,其一為CSP Evaluator,這是一個能夠評估你當前輸入的CSP能否幫助你有效避免XSS攻擊的工具,其用法非常簡單,在輸入框中輸入你當前設置或將要設置的CSP值,選擇需要驗證的CSP版本,然后按下“CHECK CSP”即可。不知道CSP是什么的同學,可以看下阿里聚安全博客以前推送的一篇文章《Content Security Policy 入門教程》

下面的列表中會給出評估工具對你輸入CSP的安全性評估,所有條目用不同顏色標記了可能的影響程度。并且每個條目都可以單擊展開詳情,以按照建議修復可能存在的缺陷。如圖:

CSP Evaluator還存在一個Chrome插件版本,同樣易于使用。在使用了CSP的網站上單擊擴展圖標就可以自動對當前頁面的CSP進行評估。

另一款工具為CSP Mitigator,這款Chrome插件允許您將自定義CSP策略應用于應用程序。 它可以幫助您了解啟用CSP的后果,識別與您的策略不兼容的應用程序部分,并指導您在部署前進行任何必要的更改。效果圖在Chrome商店中有,這里就不再贅述了。

可以看到,Google仍然在不遺余力地推行CSP的發(fā)展與應用。在CSP Eval

網友評論