NukeViet Wiki

Công cụ thành viên

Công cụ trang web

Bạn đang ở đây: start » nukeviet4 » admin » settings » security » security-csp
Trang đã xem:
nukeviet4:admin:settings:security:security-csp

Khác biệt

Đây là những khác biệt giữa hai phiên bản của trang.

Liên kết đến bản xem so sánh này

Phiên bản trước của cả hai bênPhiên bản trước
Phiên bản sau		Phiên bản trước
nukeviet4:admin:settings:security:security-csp [2024/03/05 15:00] nguyenthehuynukeviet4:admin:settings:security:security-csp [2024/03/11 15:56] (hiện tại) nguyenthehuy
Dòng 2: Dòng 2:
 Content-Security-Policy (CSP) là một công cụ mạnh mẽ giúp ngăn chặn các loại tấn công như Cross-Site Scripting (XSS) và Data Injection bằng cách cung cấp một cách để các trang web xác định nguồn nào (domains, endpoints) là đáng tin cậy cho việc tải các tài nguyên như JavaScript, CSS, hình ảnh, v.v. Content-Security-Policy (CSP) là một công cụ mạnh mẽ giúp ngăn chặn các loại tấn công như Cross-Site Scripting (XSS) và Data Injection bằng cách cung cấp một cách để các trang web xác định nguồn nào (domains, endpoints) là đáng tin cậy cho việc tải các tài nguyên như JavaScript, CSS, hình ảnh, v.v.
  
-{{:nukeviet4:admin:settings:security:screenshot_2024-03-05_143258.png?1200|}}+{{ :nukeviet4:admin:settings:security:screenshot_2024-03-05_143258.png?800 |}} 
 + 
 +                                Ảnh: Trích ra từ nukeviet 4.6
  
 Mặc định nukeviet sẽ tắt kích hoạt CSP nhưng người quản trị có thể bật tắt kích hoạt CSP Mặc định nukeviet sẽ tắt kích hoạt CSP nhưng người quản trị có thể bật tắt kích hoạt CSP
Dòng 10: Dòng 12:
 Các chỉ thị khi kích hoặt csp được bật: Các chỉ thị khi kích hoặt csp được bật:
  
-default-src: Chỉ định chính sách mặc định cho các loại tài nguyên không được chỉ định bởi các chỉ thị riêng lẻ.+**default-src**: Chỉ định chính sách mặc định cho các loại tài nguyên không được chỉ định bởi các chỉ thị riêng lẻ. 
 + 
 +**script-src**: Chỉ thị script-src chỉ định các nguồn hợp lệ cho JavaScript. Chỉ thị này sẽ trở lại default-src nếu không được chỉ định. Khi có script-src hoặc default-src, việc sử dụng tập lệnh nội tuyến và eval() bị chặn trừ khi bạn chỉ định 'unsafe-inline' và 'unsafe-eval'
 + 
 +**style-src**: Chỉ thị style-src chỉ định các nguồn hợp lệ cho các stylesheets. Chỉ thị này sẽ trở lại default-src nếu không được chỉ định. Khi có style-src hoặc default-src, việc sử dụng các phần tử <style> nội tuyến và thuộc tính HTML style="..." bị tắt trừ khi bạn chỉ định 'unsafe-inline'
 + 
 +{{ :nukeviet4:admin:settings:security:chithi1.png?800 |}} 
 +                                Ảnh: Trích ra từ nukeviet 4.6 
 + 
 +{{ :nukeviet4:admin:settings:security:chithi1_4.5.png?800 |}} 
 + 
 +                                Ảnh: Trích ra từ nukeviet 4.5.04
  
-script-src: Chỉ thị script-src chỉ định các nguồn hợp lệ cho JavaScript. Chỉ thị này sẽ trở lại default-src nếu không được chỉ định. Khi có script-src hoặc default-src, việc sử dụng tập lệnh nội tuyến và eval() bị chặn trừ khi bạn chỉ định 'unsafe-inline' và 'unsafe-eval'. 
  
-style-src: Chỉ thị style-src chỉ định các nguồn hợp lệ cho các stylesheets. Chỉ thị này sẽ trở lại default-src nếu không được chỉ định. Khi có style-src hoặc default-src, việc sử dụng các phần tử <style> nội tuyến và thuộc tính HTML style="..." bị tắt trừ khi bạn chỉ định 'unsafe-inline'.+**img-src**: Chỉ thị img-src chỉ định các nguồn hợp lệ cho hình ảnh và biểu tượng favicon. Chỉ thị này sẽ trở lại default-src nếu không được chỉ định.
  
-{{:nukeviet4:admin:settings:security:chithi1.png?800|}}+**font-src**Chỉ thị font-src chỉ định các nguồn hợp lệ cho các phông chữ được tải bằng @font-face. Chỉ thị này sẽ trở lại default-src nếu không được chỉ định.
  
-img-src: Chỉ thị img-src chỉ định các nguồn hợp lệ cho hình ảnh và biểu tượng favicon. Chỉ thị này sẽ trở lại default-src nếu không được chỉ định.+**connect-src**: Chỉ thị connect-src chỉ định các nguồn hợp lệ cho các kếnối fetch, XMLHttpRequest, WebSocket và EventSource. Chỉ thị này sẽ trở lại default-src nếu không được chỉ định.
  
-font-srcChỉ thị font-src chỉ định các nguồn hợp lệ cho các phông chữ được tải bằng @font-faceChỉ thị này sẽ trở lại default-src nếu không được chỉ định.+{{ :nukeviet4:admin:settings:security:chithi2.png?800 |}} 
 +                                Ảnh: Trích ra từ nukeviet 4.6
  
-connect-srcChỉ thị connect-src chỉ định các nguồn hợp lệ cho các kếnối fetch, XMLHttpRequest, WebSocket và EventSourceChỉ thị này sẽ trở lại default-src nếu không được chỉ định.+{{ :nukeviet4:admin:settings:security:chithi_2_45.png?800 |}} 
 +                                Ảnh: Trích ra từ nukeviet 4.5.04
  
-{{:nukeviet4:admin:settings:security:chithi2.png?800|}}+**media-src**Chỉ thị media-src chỉ định các nguồn hợp lệ cho các phần tử <audio> và <video>. Chỉ thị này sẽ trở lại default-src nếu không được chỉ định.
  
-media-src: Chỉ thị media-src chỉ định các nguồn hợp lệ cho các phần tử <audio> và <video>. Chỉ thị này sẽ trở lại default-src nếu không được chỉ định.+**object-src**: Chỉ thị object-src chỉ định các nguồn hợp lệ cho các phần tử <object>, <embed> và <applet>. Chỉ thị này sẽ trở lại default-src nếu không được chỉ định.
  
-object-src: Chỉ thị object-src chỉ định các nguồn hợp lệ cho các phầtử <object>, <embed> và <applet>. Chỉ thị này sẽ trở lại default-src nếu không được chỉ định.+**prefetch-src**: Chỉ thị prefetch-src hạn chế các URL mà tài nguyên có thể đưc tìm nạtrước hoặc hiểthị trước. Chỉ thị này sẽ trở lại default-src nếu không được chỉ định.
  
-prefetch-src: Chỉ thị prefetch-src hạn chế các URL mà tài nguyên có thể đưc tìm nạtrước hoặc hiểthị trước. Chỉ thị này sẽ trở lại default-src nếu không được chỉ định.+**frame-src**: Chỉ thị frame-src chỉ định các nguồn hợp lệ cho các phầtử như <frame> và <iframe>. Chỉ thị này sẽ trở lại default-src nếu không được chỉ định.
  
-frame-srcChỉ thị frame-src chỉ định các nguồn hợp lệ cho các phần tử như <frame> và <iframe>. Chỉ thị này sẽ trở lại default-src nếu không được chỉ định.+{{ :nukeviet4:admin:settings:security:chithi3.png?800 |}}
  
-{{:nukeviet4:admin:settings:security:chithi3.png?800|}}+**frame-ancestors**Chỉ thị frame-ancestors chỉ định nguồn cha được phép nhúng trang hiện tại vào nội dung của nó bằng cách sử dụng các phần tử như <frame>, <iframe>, <object>, <embed>, <applet>. Nó thay thế cho header X-Frame-Options.
  
-frame-ancestors: Chỉ thị frame-ancestors chỉ định nguồn cha được phép nhúng trang hiện tại vào nội dung của nó bằng cách sử dụng các phần tử như <frame>, <iframe>, <object>, <embed>, <applet>. Nó thay thế cho header X-Frame-Options.+**form-action**: Chỉ thị form-action chỉ định các địa chỉ có thể được sử dụng để g<form>.
  
-form-action: Chỉ thị form-action chỉ định các địa chỉ có thể được sử dụng để g<form>.+**base-uri**: Chỉ thị base-uri chỉ định các URL có thể được sử dụng trong phần tử <basecủa tài liệu.
  
-base-uri: Chỉ thị base-uri chỉ định các URL có thể được sử dụng trong phần tử <base> của tài liệu.+**manifest-src**: Chỉ thị manifest-src chỉ định manifest nào có thể được áp dụng cho tài nguyên. Chỉ thị này sẽ trở lại default-src nếkhông được chỉ định.
  
-manifest-srcChỉ thị manifest-src chỉ định manifest nào có thể được áp dụng cho tài nguyênChỉ thị này sẽ trở lại default-src nếu không được chỉ định.+{{ :nukeviet4:admin:settings:security:chithi4.png?800 |}} 
 +                                Ảnh: Trích ra từ nukeviet 4.6
  
-{{:nukeviet4:admin:settings:security:chithi4.png?800|}}+{{ :nukeviet4:admin:settings:security:chithi_3_45.png?800 |}} 
 +                                Ảnh: Trích ra từ nukeviet 4.5.04
  
  
nukeviet4/admin/settings/security/security-csp.1709625643.txt.gz · Sửa đổi lần cuối: 2024/03/05 15:00 bởi nguyenthehuy