我总是告知我的学生，假如他们将在那里做任何类型的Web应用程序浸透测验，他们应该要先考虑的是运转自己的网络服务器。为了能够运转，我张狂地挑选了WordPress。我之所以这样说，是由于我意识到，我冒着曝光的高风险运转着WordPress。我会写未来有关此方面的文章，首要是由于我依然积极地进行着SANS642和SAN542的教育。

        从安全的视点来看，精力体操有必要经过服务器运转之后才会完美，此Web服务器证明了这一点。实用主义也是有其价值的。有些本钱也包含了CSP，或许应该称之为内容安全策略更好。实话说，假如你不愿意完成对接，CSP便是对接完成一个巨大的苦楚。你能够用它来报答你自己，但当你在这个岗位上，它并不会体现得很完美。

        我现在运用的盛行的东西有：NGINX，WordPress，新的文物，谷歌Analytics（剖析），谷歌广告词，Gravatar，脸谱等。CSP有必要将这些都考虑在内。

CSP现在的头文件

    假如你以为这头文件现已交给给你了，我在这儿泄漏的便是隐秘。

    让咱们经过其间的一些来看看，并考虑一下要挟模型。默许的SRC指令让咱们知道怎么运用JavaScript的默许来历。在这儿，咱们自己仅仅'白名单'。

default-src 'self';

        接下来是脚本SRC指令，是在告知浏览器正在加载JavaScript是安全的。它能维护咱们免受进犯，这真的很奇特。下面是白名单的新遗物，其间一个比如包含了nr-data.com来历的。更可怕的是*.wp.com，*.gravatar.com和一些网站或许不会操控主机用户的数据但其子域却常常改变。

script-src 'self' 'unsafe-inline' 'unsafe-eval' https://js-agent.newrelic.com  https://*.nr-data.net https://*.wp.com  https://*.gravatar.com https://*.wp.com  https://pagead2.googlesyndication.com https://ssl.google-analytics.com  https://connect.facebook.net https://www.google-analytics.com  https://cdnjs.cloudflare.com https://ajax.cloudflare.com;

接下来的指令是“IMG-SRC”，这是在告知浏览器加载的图片是安全的。出于某种原因，WordPress运用*.w.org和*.wp.com的链接的时刻缩短了。

img-src 'self' data: https://wordpress.org https://*.w.org https://*.gravatar.com  https://*.wp.com https://ssl.google-analytics.com https://s-static.ak.facebook.com  https://www.google-analytics.com;

Style-src是咱们的样式表，这儿要留意些东西。

style-src 'self' 'unsafe-inline' https://*.wp.com https://*.gravatar.com  https://fonts.googleapis.com;

字体来历是咱们在这个网站上的网页字体，你有时还能够在这儿发现adobe。

font-src 'self' data: https://fonts.gstatic.com https://themes.googleusercontent.com;

SRC的结构让咱们知道它是安全的负荷结构，尽管网站只要Facebook，双击和*.wp.com被运用。

frame-src 'self' https://*.wp.com https://*.doubleclick.net https://www.facebook.com  https://s-static.ak.facebook.com;

Object-src是针对目标的，但在这儿没有说到目标。

object-src 'none'";

CSP的应战

是的，你或许会发现更大的应战是:你或许会发现，你的经历和你的用户的经历或许是彻底不同的。由于你所发现的过错，假如要让用户看到，或许是适当困难的。那些部分推特网安全团队的人，他们十分仁慈友爱，他们在推特网上联络了我（@ NDM）。我不太确认，自从他为推特作业，他是否会忧虑自己的三封信推特处理，由于他在推特的作业，但他十分友爱，他写信联络我，而且给了我一些链接。

现在的著作正在Git Hub上更新。

        他说到，他用两个东西，一个谷歌浏览器插件CASPR和Report-URI.io。我以为这两个东西是令人惊奇的。 Report-URI.io让您发送过错事情，以便今后体系进行特定的剖析。

report-uri https://report-uri.io/report/<key>;

为什么这个有价值？好像每一天我都在寻觅我需求的白名单，我没有考虑到体系的新领域。

Github的关键已被更新，Twitter也现已被更新，其间包含Twitter的短代码。

需求留意的链接：

这儿有供给许多的协助的人和一些有用的链接。

https://blog.twitter.com/2013/csp-to-the-rescue-leveraging-the-browser-for-security

https://report-ui.io

https://dev.twitter.com/web/overview/widgets-webpage-properties

https://developer.mozilla.org/en-US/docs/Web/Security/CSP

https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Content-Security-Policy