家里老人用手机浏览网页时,总担心点开链接会跳转到乱七八糟的页面,甚至不小心下载了病毒软件。其实,除了安装杀毒工具,我们还可以从网页本身入手,通过设置CSP(内容安全策略)来减少这类风险,尤其是在为老人定制或推荐网页服务时。
什么是CSP?
CSP全称是Content Security Policy,翻译过来就是“内容安全策略”。它是一段写在网页头部的规则,告诉浏览器哪些资源可以加载,比如图片、脚本、样式表。如果某个外部脚本试图偷偷运行,而它不在允许名单里,浏览器就会把它拦下。
对老人来说,这意味着即使误点了带广告或诱导链接的页面,恶意代码也很难执行,弹窗、自动跳转、静默下载这些烦人事儿就能少很多。
移动端网页怎么设置CSP?
如果你是帮父母维护一个家庭相册页、健康记录页这类简单的移动端网页,可以在服务器返回的HTTP头中加入CSP规则。比如只允许加载自己域名下的资源:
Content-Security-Policy: default-src 'self'; img-src 'self' data:; script-src 'self'; style-src 'self' 'unsafe-inline';这段配置的意思是:所有资源默认只能从当前域名加载;图片可以来自本地或data URI(比如小图标);脚本只能本地加载,禁止外链JS;样式允许内联,方便简单排版。
有些老人护理平台用iframe嵌入第三方内容,这时候要特别小心。可以单独限制frame来源:
Content-Security-Policy: frame-src https://trusted-site.com;这样就只能加载指定的安全页面,避免被挂马或钓鱼。
实际场景中的好处
张阿姨常看的一个养生文章页以前总弹广告,自从儿子把CSP加上后,那些乱跳的窗口没了,她说“看着清静多了”。另一个例子是李伯伯的远程问诊页面,医生建议家属检查网页是否设置了安全策略,防止有人伪造界面骗信息。
别看CSP是个技术词,它其实在默默守护着老人的上网体验。尤其现在不少健康监测设备都配了网页端,登录后看数据、查报告,安全性一点都不能马虎。
如果你不熟悉服务器配置,也可以通过网页的meta标签临时加一条策略:
<meta http-equiv="Content-Security-Policy" content="default-src 'self'; img-src 'self'; script-src 'self'">虽然功能不如HTTP头全面,但对静态页面已经够用,至少能挡住大部分外部脚本攻击。
技术不是年轻人的专利,给老人用的网页多加一层防护,就像给家门多装一把锁。CSP设置并不复杂,花几分钟配置,能让爸妈在手机上看得安心些。