È sicuro inviare l'intestazione Content-Security-Policy solo per text / html content-type?

13

È sicuro inviare Content-Security-Policy per le pagine generate dinamicamente con text/html e altri tipi di contenuto ipertestuale solo o devo inviare questa intestazione per tutti i file, incluse le risorse statiche: immagini, file JS e CSS?

    
posta AlexD 25.05.2018 - 16:14
fonte

1 risposta

1

Ci sono casi in cui gli utenti possono influenzare il tipo MIME in base a diversi fattori. Ad esempio, IE può essere ingannato per rendere text/plain come text/html in determinate circostanze. E, ancora, ci sono vari altri tipi MIME che sono resi e possono exfiltrare i dati. Ad esempio, anche i file PDF possono eseguire JavaScript e possono quindi utilizzare Flash, SVG, XML o qualsiasi altro tipo di contenuto gestito da plug-in.

Pertanto, è meglio applicare CSP utilizzando il file di configurazione su tutti i contenuti sottoposti a rendering.

Nota a margine, restituisci sempre il tipo di contenuto corretto con l'attributo charset corretto insieme all'intestazione X-Content-Type-Options: nosniff .

    
risposta data 25.05.2018 - 19:21
fonte

Leggi altre domande sui tag