一、从两个工具说起

最近Google又推出了两款有关CSP利用的小工具,其一为CSP Evaluator,这是一个能够评估你当前输入的CSP能否帮助你有效避免XSS攻击的工具,其用法非常简单,在输入框中输入你当前设置或将要设置的CSP值,选择需要验证的CSP版本,然后按下“CHECK CSP”即可。不知道CSP是什么的同学,可以看下阿里聚安全博客以前推送的一篇文章《Content Security Policy 入门教程》

下面的列表中会给出评估工具对你输入CSP的安全性评估,所有条目用不同颜色标记了可能的影响程度。并且每个条目都可以单击展开详情,以按照建议修复可能存在的缺陷。如图:

CSP Evaluator还存在一个Chrome插件版本,同样易于使用。在使用了CSP的网站上单击扩展图标就可以自动对当前页面的CSP进行评估。

另一款工具为CSP Mitigator,这款Chrome插件允许您将自定义CSP策略应用于应用程序。 它可以帮助您了解启用CSP的后果,识别与您的策略不兼容的应用程序部分,并指导您在部署前进行任何必要的更改。效果图在Chrome商店中有,这里就不再赘述了。

可以看到,Google仍然在不遗余力地推行CSP的发展与应用。在CSP Eval

延伸阅读

学习是年轻人改变自己的最好方式-Java培训,做最负责任的教育,学习改变命运,软件学习,再就业,大学生如何就业,帮大学生找到好工作,lphotoshop培训,电脑培训,电脑维修培训,移动软件开发培训,网站设计培训,网站建设培训学习是年轻人改变自己的最好方式