内容安全策略（CSP，Content Security Policy） 是一种用于防止跨站点脚本攻击（XSS）和数据注入攻击的安全策略。它通过指定允许加载的资源类型（如脚本、样式表、图像等）和其来源，来减少代码执行的风险。

本文将详细介绍如何在Spring Boot项目中设置CSP，并提供完整的代码示例和解析，帮助开发者保护Web应用免受常见安全漏洞的侵害。

1. 什么是Content Security Policy？

CSP是一种Web安全策略，通过告诉浏览器只允许特定来源的内容加载，可以有效减少XSS和其它代码注入的风险。它的主要工作原理是：

• 通过HTTP头或HTML <meta>标签定义允许的资源来源；
• 限制页面加载外部资源的权限，如脚本、样式表、图像等。

CSP可以阻止的常见安全问题包括：

• 跨站脚本攻击（XSS）：阻止恶意脚本在页面中执行；
• 数据注入：通过限制资源加载，减少不信任来源的数据注入可能性。

2. Spring Boot 项目中设置 CSP 的作用

在Spring Boot应用中，通过配置CSP，可以对Web应用的前端资源加载进行严格的控制，避免被恶意代码注入，提升Web应用的整体安全性。

• 防御XSS攻击：CSP能有效阻止嵌入的恶意JavaScript代码。
• 防止外部资源加载：CSP允许你指定加载资源的来源，防止加载未经授权的外部资源。
• 提高应用安全：配合其他Web安全措施，如HTTP Strict Transport Security (HSTS)，CSP可以增强整体安全。

3. CSP的基本配置策略

CSP策略由一系列指令（directives）组成，常见的指令包括：

• default-src：为所有类型的资源设置默认来源。
• script-src：为JavaScript脚本指定加载来源。
• style-src：为样式表指定来源。
• img-src：为图片资源指定来源。
• connect-src：为AJAX、WebSocket等网络请求指定来源。

这些指令可以在HTTP响应头中通过Content-Security-Policy设置。

4. 在Spring Boot中设置Content Security Policy

在Spring Boot项目中，我们可以通过配置SecurityConfig类来自定义安全策略，包括CSP。Spring Security提供了对CSP的支持，你可以通过HTTP头自定义CSP。

4.1 添加Spring Security依赖

首先，在项目的pom.xml中引入Spring Security依赖：

<dependency><groupId>org.springframework.boot</groupId><artifactId>spring-boot-starter-security</artifactId>
</dependency>

4.2 配置Content Security Policy

接下来，在Spring Boot项目的安全配置类中（通常是SecurityConfig），通过HttpSecurity的配置来设置CSP策略。

代码示例：

import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {@Overrideprotected void configure(HttpSecurity http) throws Exception {http// 启用CSP策略.headers().contentSecurityPolicy("default-src 'self'; script-src 'self' https://trustedscripts.com; object-src 'none'; style-src 'self' https://trustedstyles.com").and().frameOptions().sameOrigin();}
}

解释：

• default-src 'self'：允许所有资源从与页面同源的地方加载。
• script-src 'self' https://trustedscripts.com：仅允许页面执行来自自身或trustedscripts.com的JavaScript。
• object-src 'none'：禁止加载<object>、<embed>等标签的内容。
• style-src 'self' https://trustedstyles.com：仅允许加载同源的样式表和trustedstyles.com的样式表。

4.3 禁用unsafe-inline和unsafe-eval

在某些情况下，你可能会遇到不安全的inline脚本或样式执行，如直接在HTML中嵌入<script>标签或<style>标签，或者动态地在JavaScript中执行字符串代码。这种方式存在较大的安全隐患，通常在CSP中应当禁止。

通过禁止unsafe-inline和unsafe-eval可以有效地阻止这些潜在的安全问题：

http.headers().contentSecurityPolicy("default-src 'self'; script-src 'self'; style-src 'self'; object-src 'none'; img-src 'self'; frame-ancestors 'none'").and().frameOptions().sameOrigin();

• unsafe-inline：允许页面中直接嵌入的脚本和样式执行，通常建议禁用。
• unsafe-eval：允许使用eval()执行字符串作为JavaScript代码，建议禁用。

5. 如何调试和测试CSP配置

5.1 使用开发者工具

使用浏览器的开发者工具可以查看CSP是否正确生效。打开浏览器控制台，查看是否有CSP相关的报错提示。

5.2 调整CSP策略

当CSP策略太严格时，可能会导致一些资源加载失败。你可以通过以下方式逐步放宽限制：

• 使用report-uri指令来收集CSP违规报告，而不直接阻止资源加载。
• 开启调试模式，通过记录的报告分析哪些资源被阻止。

6. Content Security Policy的高级配置

对于更加复杂的应用，可以根据需要灵活配置CSP策略。例如：

• 允许特定的media资源：

http.headers().contentSecurityPolicy("media-src 'self' https://trustedmedia.com");

• 允许在iframe中加载指定来源的页面：

http.headers().contentSecurityPolicy("frame-ancestors 'self' https://trustedframe.com");

7. 使用Nonce处理内联样式和脚本

在许多Web应用中，内联样式和内联脚本的使用是很常见的，尤其是在早期开发阶段或者为了快速渲染页面。然而，直接在页面中嵌入内联脚本和样式带来了XSS（跨站脚本攻击）的安全风险。因此，通常在配置Content Security Policy（CSP）时，我们会禁止unsafe-inline，阻止所有内联样式和脚本。

但是，在某些场景下，内联脚本和样式是不可避免的。 这时，我们可以通过CSP的nonce（一次性令牌）机制来允许安全的内联脚本和样式执行。通过为每个请求生成一个唯一的nonce，浏览器可以识别哪些内联样式或脚本是安全的，从而避免阻止合法代码的执行。

7.1 什么是Nonce？

nonce（Number Once）是一个临时的、唯一的字符串，它被添加到每个内联样式或脚本标签中，作为该标签的“授权令牌”。在服务器端生成并附加给HTML标签，同时在CSP头中声明该nonce，浏览器会允许带有匹配nonce的内联代码执行。

通过nonce的方式，可以在不禁用unsafe-inline的情况下，继续安全地使用内联脚本和样式。

7.2 在CSP中使用Nonce

在配置CSP时，我们可以通过script-src和style-src指令来指定带有特定nonce的内联脚本和样式。下面是一个示例，展示如何配置nonce：

http.headers().contentSecurityPolicy("default-src 'self'; script-src 'self' 'nonce-RANDOM_NONCE'; style-src 'self' 'nonce-RANDOM_NONCE';").and().frameOptions().sameOrigin();

在上面的CSP策略中，'nonce-RANDOM_NONCE'表示带有指定nonce的脚本和样式会被允许执行，而其他内联脚本将被阻止。

7.3 生成和应用Nonce

在Spring Boot中，我们可以动态地生成一个nonce并将其应用到CSP头中，同时插入到内联的脚本或样式标签中。

示例代码：

import org.springframework.security.web.header.HeaderWriter;
import org.springframework.stereotype.Component;import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.util.UUID;@Component
public class CSPNonceHeaderWriter implements HeaderWriter {@Overridepublic void writeHeaders(HttpServletRequest request, HttpServletResponse response) {// 动态生成唯一的 nonceString nonce = UUID.randomUUID().toString();// 将 nonce 设置到 CSP 头中response.setHeader("Content-Security-Policy", "script-src 'self' 'nonce-" + nonce + "'; style-src 'self' 'nonce-" + nonce + "'");// 你也可以将 nonce 设置到请求的属性中，以便在页面中使用request.setAttribute("nonce", nonce);}
}

 在上面的代码中，我们为每个请求生成一个唯一的nonce，并将其添加到Content-Security-Policy响应头中。然后，我们可以在页面中的内联脚本和样式中使用这个nonce。

7.4 在HTML页面中应用Nonce

为了使内联脚本和样式通过CSP的验证，我们需要在内联标签中应用相同的nonce。

例如，在Thymeleaf模板中，假设我们已经将生成的nonce传递到页面中，可以这样使用：

<script th:attr="nonce=${nonce}">console.log('这是安全的内联脚本');
</script><style th:attr="nonce=${nonce}">body {background-color: #f0f0f0;}
</style>

在这个例子中，使用Thymeleaf模板引擎将生成的nonce插入到内联的<script>和<style>标签中。由于该nonce与响应头中的Content-Security-Policy中声明的nonce一致，浏览器将允许这些内联脚本和样式执行。

7.6 在Angular中应用Nonce

因为我们项目中使用的Angular，所以我们再讲一下在angular中是怎么使用Nonce的。根据Angular官方提供的CSP方案，我们选择第2种。注意需要angular16以上的版本才支持。

有了官方的方案，接下来我们就在angular中实现动态的nonce就可以了。

7.7 如何测试Nonce

在开发环境中，你可以通过以下步骤验证nonce的工作：

1. 查看浏览器的开发者工具：打开浏览器的开发者工具，检查是否存在CSP违规报告。如果一切正常，内联脚本和样式将成功执行。
2. 动态生成nonce：每次请求都应该生成不同的nonce，你可以通过刷新页面，检查每次响应的Content-Security-Policy头，确认nonce是否在变化。
3. 故意注入不匹配的nonce：你可以在页面中手动注入不匹配的nonce，验证浏览器是否会阻止这些内联代码的执行。

8. 总结

在Spring Boot项目中设置CSP策略是保护Web应用的有效方法，通过指定允许加载的资源来源，可以显著降低XSS和数据注入攻击的风险。本文介绍了CSP的基本概念、在Spring Boot中如何配置CSP以及如何进行调试和优化。

合理配置CSP策略，不仅可以提升Web应用的安全性，还可以为用户提供更加安全的浏览体验。尤其是通过nonce机制可以在确保安全的同时灵活使用内联样式和脚本。在CSP中应用nonce，可以帮助开发者在保持项目安全性的同时，避免由于禁止unsafe-inline而导致的内联代码执行问题。

通过本文的内容，相信你已经能够在自己的Spring Boot项目中配置并应用CSP策略，如何通过nonce来处理内联样式和脚本的安全问题，为Web应用加上一层强大的防护！