Domande con tag 'content-security-policy'

2
risposte

Prevenzione XSS tramite la politica di sicurezza dei contenuti

In che modo Content Security Policy (CSP) riduce significativamente il rischio e l'impatto degli attacchi XSS nei browser moderni? È possibile aggirare CSP per eseguire XSS?     
posta 25.06.2013 - 15:48
2
risposte

Perché CSP è necessario per proteggere dalla perdita di img-src?

GitHub spiega il problema con img-src in "Viaggio post-CSP di GitHub" : A tag with an unclosed quote will capture all output up to the next matching quote. This could include security sensitive content on the pages such as: &...
posta 26.01.2017 - 08:53
2
risposte

È incluso lo schema di dati nel tuo Content Security Policy sicuro?

Ho un'app Cordova che trasforma alcune immagini in base64. Ciò viola il CSP con questo messaggio: Refused to load the image 'data:image/svg+xml;charset=US-ASCII,%3C%3Fxml%20version%3D%221.0%22%20encod…E%3C%2Fg%...%3C%2Fsvg%3E' because i...
posta 26.07.2015 - 19:58
1
risposta

È sicuro inviare l'intestazione Content-Security-Policy solo per text / html content-type?

È sicuro inviare Content-Security-Policy per le pagine generate dinamicamente con text/html e altri tipi di contenuto ipertestuale solo o devo inviare questa intestazione per tutti i file, incluse le risorse statiche: immagini, file JS...
posta 25.05.2018 - 16:14
3
risposte

Rapporti CSP: ignorare il malware del client

Visualizzo molti report di Content Security Policy (CSP) generati da malware sul lato client. Molti hanno voci " blocked-uri " come randomstring.cloudfront.net , something.akamaihd.net e così via. Vorrei rilevare i rapporti CSP c...
posta 15.05.2014 - 11:21
2
risposte

Iframe che eredita la politica di sicurezza dei contenuti dei genitori

Ho una pagina padre che contiene una politica di sicurezza dei contenuti. Lo scopo principale di CSP non è quello di prevenire l'XSS, ma di impedire l'accesso alla rete. Questa pagina deve eseguire alcuni HTML / CSS / JS generati / inviati dall'...
posta 11.11.2016 - 11:53
2
risposte

Problema in underscore.js con "new Function ()" quando viene impostata l'intestazione CSP

In underscore.js, il rendering del modello causa la violazione della proprietà 'unsafe-eval', con errore CSP alla riga seguente: render = new Function(settings.variable || 'obj', '_', source); La soluzione a questo problema su alcuni forum...
posta 06.05.2015 - 09:23
4
risposte

Content-Security-Policy hash di script

<?php header("Content-Security-Policy: default-src 'sha256-".base64_encode(hash('sha256', 'console.log("Hello world");', true))."'"); ?> <script>console.log("Hello world");</script> Tuttavia, continuo a ricevere in Chrome:...
posta 27.05.2014 - 03:42
4
risposte

CSP che consente tutti i domini di Google?

Sto cercando di sviluppare un CSP per il sito link . In questo momento esiste un criterio rispetto alle esecuzioni in modalità solo report, quindi al momento non viene bloccato nulla. Il sito contatta googleads.g.doubleclick.net e stats.g...
posta 15.12.2016 - 12:13
3
risposte

La politica di sicurezza del contenuto è applicata solo durante il rendering iniziale?

Il CSP viene applicato solo durante il rendering iniziale, ovvero non esiste una copertura continua dopo il caricamento del documento? Ecco un esempio di ciò di cui sto parlando: Diciamo che la tua pagina, example.com , ha qualche JS che...
posta 26.10.2016 - 21:13