如何为 Next.js 应用设置内容安全策略 (CSP)

内容安全策略 (CSP) 对于防范跨站脚本 (XSS)、点击劫持和其他代码注入攻击等安全威胁至关重要。

通过使用 CSP，开发者可以指定哪些来源允许加载内容、脚本、样式表、图片、字体、对象、媒体（音频、视频）、iframe 等。

示例

严格 CSP

Nonce 随机数

Nonce 是一个一次性使用的唯一随机字符串。它与 CSP 结合使用，可以绕过严格的 CSP 指令，选择性地允许某些内联脚本或样式执行。

为什么使用 Nonce？

尽管 CSP 旨在阻止恶意脚本，但在某些合法场景中内联脚本是必要的。此时，Nonce 提供了一种方式：只有携带正确 Nonce 的脚本才能执行。

通过中间件添加 Nonce

中间件允许您在页面渲染前添加头部并生成 Nonce。

每次页面被访问时都应生成一个新的 Nonce。这意味着 必须使用动态渲染来添加 Nonce。

例如：

import { NextRequest, NextResponse } from 'next/server'

export function middleware(request: NextRequest) {
  const nonce = Buffer.from(crypto.randomUUID()).toString('base64')
  const cspHeader = `
    default-src 'self';
    script-src 'self' 'nonce-${nonce}' 'strict-dynamic';
    style-src 'self' 'nonce-${nonce}';
    img-src 'self' blob: data:;
    font-src 'self';
    object-src 'none';
    base-uri 'self';
    form-action 'self';
    frame-ancestors 'none';
    upgrade-insecure-requests;
`
  // 替换换行符和空格
  const contentSecurityPolicyHeaderValue = cspHeader
    .replace(/\s{2,}/g, ' ')
    .trim()

  const requestHeaders = new Headers(request.headers)
  requestHeaders.set('x-nonce', nonce)

  requestHeaders.set(
    'Content-Security-Policy',
    contentSecurityPolicyHeaderValue
  )

  const response = NextResponse.next({
    request: {
      headers: requestHeaders,
    },
  })
  response.headers.set(
    'Content-Security-Policy',
    contentSecurityPolicyHeaderValue
  )

  return response
}

默认情况下，中间件会处理所有请求。您可以通过 matcher 筛选中间件仅在特定路径上运行。

建议忽略来自 next/link 的预取请求和不需要 CSP 头部的静态资源。

export const config = {
  matcher: [
    /*
     * 匹配所有请求路径，除了以下开头的路径：
     * - api (API 路由)
     * - _next/static (静态文件)
     * - _next/image (图片优化文件)
     * - favicon.ico (网站图标文件)
     */
    {
      source: '/((?!api|_next/static|_next/image|favicon.ico).*)',
      missing: [
        { type: 'header', key: 'next-router-prefetch' },
        { type: 'header', key: 'purpose', value: 'prefetch' },
      ],
    },
  ],
}

读取 Nonce

您可以通过 headers 在服务器组件中读取 Nonce：

import { headers } from 'next/headers'
import Script from 'next/script'

export default async function Page() {
  const nonce = (await headers()).get('x-nonce')

  return (
    <Script
      src="https://www.googletagmanager.com/gtag/js"
      strategy="afterInteractive"
      nonce={nonce}
    />
  )
}

不使用 Nonce 的情况

对于不需要 Nonce 的应用，可以直接在 next.config.js 文件中设置 CSP 头部：

next.config.js

const cspHeader = `
    default-src 'self';
    script-src 'self' 'unsafe-eval' 'unsafe-inline';
    style-src 'self' 'unsafe-inline';
    img-src 'self' blob: data:;
    font-src 'self';
    object-src 'none';
    base-uri 'self';
    form-action 'self';
    frame-ancestors 'none';
    upgrade-insecure-requests;
`

module.exports = {
  async headers() {
    return [
      {
        source: '/(.*)',
        headers: [
          {
            key: 'Content-Security-Policy',
            value: cspHeader.replace(/\n/g, ''),
          },
        ],
      },
    ]
  },
}

版本历史

建议使用 v13.4.20+ 版本的 Next.js 以正确处理和应用 Nonce。

中间件 (Middleware)

了解如何使用中间件 (Middleware) 在请求完成前运行代码。

headers

关于 headers 函数的 API 参考文档。