CSP sandbox指令与页面隔离最佳实践

---

title: CSP sandbox指令与页面隔离最佳实践

keywords:

• CSP
• sandbox
• 页面隔离
• 权限收敛

description: 通过CSP的sandbox指令对页面进行权限收敛与隔离，限制脚本、表单与插件等能力，降低风险页面的攻击面。

tags:

• CSP
• CSP治理
• sandbox
• 工程实践
• 权限收敛
• 浏览器安全
• 页面隔离

categories:

• 文章资讯
• 编程技术

---

背景与价值

对高风险页面应用CSP sandbox可快速收敛能力并隔离上下文，减少攻击面与影响范围。

统一规范

• sandbox默认：不允许脚本、表单、插件等；按需启用个别能力。
• 差异化：仅对特定高风险页面启用，避免影响正常功能。
• 协同：配合frame-ancestors与Permissions-Policy治理。

核心实现

头设置

type Res = { setHeader: (k: string, v: string) => void }

function setSandbox(res: Res, allow: string[] = []) { const v = ['sandbox', ...allow].join(' '); res.setHeader('Content-Security-Policy', v) }

落地建议

• 在风险页面统一启用sandbox并最小化能力，按需添加 allow-forms/allow-scripts 等。

验证清单

• 是否对风险页面下发sandbox；能力是否最小化且不影响必要功能。