Linea di codice della politica di sicurezza dei contenuti per principianti

0

Sono molto nuovo nello sviluppo web e ho bisogno di rendere il mio sito un po 'più sicuro aggiungendo un semplice codice Content-Security-Policy .

Ecco le mie domande:

  1. Questa riga di codice Header set Content-Security-Policy "default-src 'self'" è sufficiente per impedire l'aggiunta di codici dannosi da parte di un utente / utente malintenzionato sconosciuto?

  2. Per lavorare su questo codice Header set Content-Security-Policy "default-src 'self'" , tutto ciò che devo fare è inserirlo nel mio file .htaccess ?

posta googol8080 20.09.2016 - 14:42
fonte

1 risposta

2

L'intestazione impedisce ai file di risorse di essere caricati da qualsiasi luogo tranne il dominio di origine.

Tuttavia, non impedirà i dirottamenti man-in-the-middle o del browser che potrebbero inserire in modo dinamico modifiche alla pagina stessa, dal momento che questi non stanno tentando di caricare un file di risorse separato per quanto riguarda il browser.

Header set Content-Security-Policy "default-src 'self'"

È in effetti la corretta voce .htaccess di Apache.

Per evitare i dirottamenti MiTM, è necessario assicurarsi che tutte le risorse siano consegnate crittografate su HTTPS. Utilizza il blocco dei certificati per impedire la decodifica MiTM.

Per evitare i dirottamenti del browser, assicurati innanzitutto che tutti i client abbiano un solido blocco degli annunci installato e aggiornato (se sei su una rete controllata, fallo a livello di rete). Ciò evita i dirottamenti drive-by che sono sempre più comuni. Altre forme provengono da malware sul PC, quindi assicuratevi che gli utenti abbiano costantemente aggiornato l'antivirus e conoscano attacchi come il phishing, non aprendo documenti non attendibili e non eseguendo mai applicazioni a meno che non siano noti. la solita roba di sicurezza del cliente.

    
risposta data 20.09.2016 - 15:01
fonte

Leggi altre domande sui tag