跳到內容
建置你的應用程式設定內容安全策略

內容安全策略

內容安全策略 (CSP) 對於保護您的 Next.js 應用程式免受各種安全威脅(例如跨網站指令碼 (XSS)、點擊劫持和其他程式碼注入攻擊)至關重要。

透過使用 CSP,開發人員可以指定哪些來源允許作為內容來源,包括腳本、樣式表、圖片、字型、物件、媒體(音訊、視訊)、iframe 等。

範例

Nonces

Nonce 是一個獨特的隨機字串,專為一次性使用而建立。它與 CSP 結合使用,以選擇性地允許某些內嵌腳本或樣式執行,從而繞過嚴格的 CSP 指令。

為何使用 nonce?

即使 CSP 旨在封鎖惡意腳本,但在某些合法情況下,內嵌腳本是必要的。在這種情況下,nonce 提供了一種方法,允許這些腳本在具有正確的 nonce 時執行。

使用中介軟體新增 nonce

中介軟體 使您能夠在頁面渲染之前新增標頭並產生 nonce。

每次檢視頁面時,都應產生一個新的 nonce。這表示您必須使用動態渲染來新增 nonce

例如

middleware.ts
import { NextRequest, NextResponse } from 'next/server'
 
export function middleware(request: NextRequest) {
  const nonce = Buffer.from(crypto.randomUUID()).toString('base64')
  const cspHeader = `
    default-src 'self';
    script-src 'self' 'nonce-${nonce}' 'strict-dynamic';
    style-src 'self' 'nonce-${nonce}';
    img-src 'self' blob: data:;
    font-src 'self';
    object-src 'none';
    base-uri 'self';
    form-action 'self';
    frame-ancestors 'none';
    upgrade-insecure-requests;
`
  // Replace newline characters and spaces
  const contentSecurityPolicyHeaderValue = cspHeader
    .replace(/\s{2,}/g, ' ')
    .trim()
 
  const requestHeaders = new Headers(request.headers)
  requestHeaders.set('x-nonce', nonce)
 
  requestHeaders.set(
    'Content-Security-Policy',
    contentSecurityPolicyHeaderValue
  )
 
  const response = NextResponse.next({
    request: {
      headers: requestHeaders,
    },
  })
  response.headers.set(
    'Content-Security-Policy',
    contentSecurityPolicyHeaderValue
  )
 
  return response
}

預設情況下,中介軟體會在所有請求上執行。您可以使用matcher 來篩選中介軟體,使其在特定路徑上執行。

我們建議忽略來自 next/link 的預先抓取 (prefetch) 和不需要 CSP 標頭的靜態資源。

middleware.ts
export const config = {
  matcher: [
    /*
     * Match all request paths except for the ones starting with:
     * - api (API routes)
     * - _next/static (static files)
     * - _next/image (image optimization files)
     * - favicon.ico (favicon file)
     */
    {
      source: '/((?!api|_next/static|_next/image|favicon.ico).*)',
      missing: [
        { type: 'header', key: 'next-router-prefetch' },
        { type: 'header', key: 'purpose', value: 'prefetch' },
      ],
    },
  ],
}

讀取 nonce

您現在可以使用 headers伺服器組件讀取 nonce

app/page.tsx
import { headers } from 'next/headers'
import Script from 'next/script'
 
export default async function Page() {
  const nonce = (await headers()).get('x-nonce')
 
  return (
    <Script
      src="https://127.0.0.1/gtag/js"
      strategy="afterInteractive"
      nonce={nonce}
    />
  )
}

不使用 Nonces 的情況

對於不需要 nonce 的應用程式,您可以直接在 next.config.js 檔案中設定 CSP 標頭

next.config.js
const cspHeader = `
    default-src 'self';
    script-src 'self' 'unsafe-eval' 'unsafe-inline';
    style-src 'self' 'unsafe-inline';
    img-src 'self' blob: data:;
    font-src 'self';
    object-src 'none';
    base-uri 'self';
    form-action 'self';
    frame-ancestors 'none';
    upgrade-insecure-requests;
`
 
module.exports = {
  async headers() {
    return [
      {
        source: '/(.*)',
        headers: [
          {
            key: 'Content-Security-Policy',
            value: cspHeader.replace(/\n/g, ''),
          },
        ],
      },
    ]
  },
}

版本歷史

我們建議使用 Next.js 的 v13.4.20+ 版本,以正確處理和應用 nonce。

下一步

中介軟體

了解如何使用中介軟體在請求完成之前執行程式碼。

headers

headers 函式的 API 參考。