简述什么是CDN ？

<think>我们正在回答用户关于CSP基本概念和定义的问题。用户提供了两段引用，但其中引用[2]是关于C++联合(Union)的，与CSP无关，可能是误贴。引用[1]提到了CSP（Content Security Policy）的基本作用：允许网站管理员定义规则集，阻止不受信任的资源加载，从而降低XSS等攻击风险。因此，我们将围绕引用[1]展开回答。 CSP即内容安全策略，是一种网络安全机制，用于防止跨站脚本攻击(XSS)等注入攻击。其核心是让网站通过HTTP响应头定义一组策略指令，指定哪些来源的内容可以被浏览器加载执行。 回答结构： 1. 定义CSP：说明CSP是什么及其目的。 2. 工作原理：简述CSP如何工作（如策略指令、资源类型、默认行为等）。 3. 关键指令示例：列举几个常用指令（如default-src, script-src）并说明作用。 4. 实际应用：如何部署CSP（如通过HTTP头或meta标签）。 5. 总结CSP的价值。 注意：引用[2]与问题无关，忽略。仅使用引用[1]作为依据。</think>### CSP（内容安全策略）的基本概念与定义 #### 1. **核心定义** **CSP（Content Security Policy，内容安全策略）** 是一种网络安全机制，允许网站管理员通过声明式策略控制浏览器可加载或执行的资源范围。其核心目标是**阻止恶意内容注入**（如 XSS 攻击、数据注入等），通过定义可信资源来源的白名单实现[^1]。 #### 2. **核心原理** CSP 的工作原理基于**资源来源限制**： - **策略指令**：管理员通过 HTTP 响应头（如 `Content-Security-Policy`）或 HTML `<meta>` 标签定义策略。 - **资源类型控制**：策略针对不同资源类型（脚本、样式、图片等）指定合法来源。 - **拦截机制**：浏览器解析策略后，自动拦截不符合规则的资源请求或代码执行。 例如，以下策略仅允许加载同源脚本和 Google 的字体资源： ```http Content-Security-Policy: script-src 'self'; font-src 'self' https://fonts.googleapis.com ``` #### 3. **关键概念** | 概念 | 说明 | 示例指令 | |---------------------|----------------------------------------------------------------------|----------------------------------| | **默认策略** | 未明确指定的资源类型使用默认规则 | `default-src 'self'` | | **脚本控制** | 限制 JavaScript 执行来源 | `script-src 'self' https://apis.example.com` | | **样式控制** | 控制 CSS 文件加载来源 | `style-src 'unsafe-inline'` | | **数据源控制** | 管理 AJAX 请求、WebSocket 连接等 | `connect-src https://api.example.com` | | **内联代码处理** | 禁止或允许内联脚本/样式（`'unsafe-inline'` 为高风险选项） | `script-src 'none'` | | **报告机制** | 违规行为自动上报至指定端点 | `report-uri /csp-report-endpoint` | #### 4. **核心作用** - **防御 XSS 攻击**：阻止恶意脚本注入，例如： ```html <!-- 恶意脚本将被 CSP 拦截 --> <script>alert("Hacked!")</script> ``` - **减少数据泄露风险**：阻止未经授权的数据外传（如 `connect-src` 限制）。 - **缓解点击劫持**：通过 `frame-ancestors` 限制页面嵌入来源。 - **降低第三方资源风险**：精确控制外部 CDN、广告脚本等来源。 #### 5. **部署方式** - **HTTP 响应头**（推荐）： ```http Content-Security-Policy: default-src 'self'; img-src *; script-src 'nonce-abc123' ``` - **HTML `<meta>` 标签**： ```html <meta http-equiv="Content-Security-Policy" content="default-src 'self'"> ``` #### 6. **策略设计原则** - **最小权限原则**：初始策略设为 `default-src 'none'`，逐步添加必要来源。 - **逐步实施**：先用 `Content-Security-Policy-Report-Only` 头测试策略，避免误拦截。 - **自动化工具**：使用 [CSP Evaluator](https://csp-evaluator.withgoogle.com/) 检测策略漏洞。 > **总结**：CSP 通过声明式策略将资源加载权限收归开发者控制，是防御代码注入攻击的核心安全层。其实质是将「信任决策」从浏览器被动执行转为开发者主动定义[^1]。 --- ### 示例：CSP 拦截恶意脚本 假设策略为 `script-src 'self'`： ```html <!-- 同源脚本：允许执行 --> <script src="/legit-script.js"></script> <!-- 外部恶意脚本：被 CSP 拦截 --> <script src="https://malicious.site/hack.js"></script> <!-- 内联脚本：被拦截（除非启用 'unsafe-inline'） --> <script>alert("Blocked!")</script> ```

1. 实体有：产品、客户、入库、销售。它们的属性如下： - 产品：产品编号、产品名称、单价、库存数量 - 客户：客户编号、客户姓名、地址、联系电话 - 入库：入库日期、产品编号、产品名称、库存数量、单价 - 销售：销售日期、产品编号、产品名称、客户编号、客户姓名、单价、销售数量 2. 产品销售的 E-R 图如下：  3. 产品销售的关系数据模型如下： - 产品表（Product）：{产品编号, 产品名称, 单价, 库存数量} - 客户表（Customer）：{客户编号, 客户姓名, 地址, 联系电话} - 入库表（Stock）：{入库日期, 产品编号, 产品名称, 库存数量, 单价} - 销售表（Sales）：{销售日期, 产品编号, 产品名称, 客户编号, 客户姓名, 单价, 销售数量} 4. 产品销售的关系数据模型规范为 3NF，因为每个实体的属性都只与该实体本身相关，没有冗余数据。 5. 候选键、主键、外键、公共键如下： - 产品表的候选键：{产品编号} - 客户表的候选键：{客户编号} - 入库表的候选键：{入库日期, 产品编号} - 销售表的候选键：{销售日期, 产品编号, 客户编号} - 产品表的主键：{产品编号} - 客户表的主键：{客户编号} - 入库表的主键：{入库日期, 产品编号} - 销售表的主键：{销售日期, 产品编号, 客户编号} - 入库表的外键：{产品编号} -> 产品表{产品编号} - 销售表的外键：{产品编号} -> 产品表{产品编号} - 销售表的外键：{客户编号} -> 客户表{客户编号} - 公共键：{产品编号, 产品名称, 单价} 在产品表、入库表和销售表中出现。 6. 保证产品销售数据的完整性的方法有： - 设计合适的数据模型，包括实体、属性、关系、主键、外键等，防止数据冗余和错误。 - 设置数据校验规则，例如限制库存数量不能小于0，销售数量不能大于库存数量等。 - 设置触发器，当某些特定操作发生时，自动触发相关的数据处理操作，例如自动更新库存数量、自动计算销售总额等。 - 设置权限，限制用户对数据的访问和操作，防止误操作和恶意破坏。