Domande con tag 'content-security-policy'

3
risposte

L'intestazione di Content Security Policy fornisce un falso senso di sicurezza se una pagina viene pubblicata su HTTP non crittografato?

Ho pensato a come uno sviluppatore limitato (per qualsiasi motivo) a servire un sito non criptato potrebbe proteggersi da minacce come gli ISP eccessivi che iniettano pubblicità o notifiche nelle loro pagine, o kiddie di script in un bar che gir...
posta 28.09.2015 - 22:51
3
risposte

HTTP Content-Security-Policy Nonce e caching

Qualcuno qui è in grado di chiarire in che modo il caching influisce aggiungendo un nonce=value a tutto il javascript in linea? Se il nonce deve essere unico e imprevedibile, è necessario disabilitare tutte le cache sul lato server (cioè...
posta 03.12.2016 - 00:22
2
risposte

Esiste un equivalente HSTS per specificare la versione TLS?

HSTS mi consente di forzare i client a connettersi al mio sito web usando HTTPS, ma non specifica la versione di SSL, TLS o quali cifrature sto proibendo. C'è qualche alternativa o estensione HSTS che mi permetta di specificare Versione m...
posta 12.09.2015 - 01:47
3
risposte

Quali sono i limiti della politica di sicurezza dei contenuti?

Mi chiedo in che modo questa nuova non protezione ci protegga. Come vedo, poiché gli script inline sono disabilitati (e presumo che includa i link javascript: ), risolvono il problema del furto nascosto di dati sensibili tramite JavaSc...
posta 27.07.2016 - 14:27
1
risposta

Qual è la differenza tra antenati frame e child-src?

Entrambe le opzioni sembrano controllare chi può incorporare il contenuto in un tag <iframe> , proprio come fa X-Frame-Options . Chrome e Safari stanno deprecando questa intestazione (parzialmente, allow-from per esempio), qui...
posta 30.11.2016 - 10:13
1
risposta

Content-Security-Policy: ottenere report strani con 'sé' dei frame-antenati

In questo momento, mantengo la Content-Security-Policy per link , che è: Content-Security-Policy: frame-ancestors 'self'; block-all-mixed-content; report-uri https://lidlcsp.report-uri.io/r/default/csp/enforce; La parte con gli antenati de...
posta 30.10.2017 - 16:01
1
risposta

L'hook del BeEF può essere interrotto con Content Security Policies

So che usare valori rigorosi per default-src e scripts-src è un modo popolare per prevenire (o almeno limitare l'impatto) degli attacchi XSS. Ma mi stavo solo chiedendo che i CSP possano essere usati per fermare gli attaccanti / pentesters dall'...
posta 08.04.2018 - 00:36
1
risposta

Content-Security-Policy e accesso a Facebook

Questa domanda sembra essere correlata al link , ma non sto sviluppando un'estensione di Chrome. Sto sviluppando una normale applicazione web. Sto cercando di integrare l'accesso a Facebook sul mio sito web, che ha una politica CSP stretta...
posta 18.04.2014 - 12:39
1
risposta

Vulnerabilità XSS con CSP rigoroso

L'articolo I'm raccolta di numeri di carta di credito e password dal tuo sito. Ecco come. descrive le fasi di un attacco teorico in cui un utente malintenzionato può ignorare un CSP rigoroso ed estrarre informazioni sensibili. L'articolo affer...
posta 08.01.2018 - 03:12
1
risposta

In che modo un affidabile maps.googleapis.com in CSP attiva una vulnerabilità XSS? (JSONP)

Sto testando lo strumento CSP Evaluator e ho una domanda riguardante la seguente politica di sicurezza del contenuto: default-src https://maps.googleapis.com Lo strumento considera questo come un rischio elevato: maps.googleapis.c...
posta 29.09.2016 - 10:59