Domande con tag 'content-security-policy'

domande con tag
2
risposte

XSS e politica di sicurezza dei contenuti

È possibile impedire XSS 100% impostando la politica di sicurezza del contenuto come default-src 'self' ? C'è un modo in cui l'XSS può accadere in quel caso? Una possibilità che posso pensare è di iniettare input dell'utente in uno dei tuo...
posta 17.08.2016 - 01:36
2
risposte

Protezione dell'architettura dei servizi Micro internamente

Sto implementando una soluzione con set di Micro Services (Spring Rest Services) con Rabbit MQ come broker di messaggi. Il server Edge viene autenticato utilizzando il server Identity basato su OAuth. Le chiamate interne di Micro Sevices non son...
posta 22.12.2016 - 23:03
1
risposta

Pessimo risultato su securityheaders.io per google.com

Ho appena provato google su securityheaders.io e il risultato è stato D . Google in realtà non sta impostando le seguenti intestazioni di sicurezza Content-Security-politica X-Content-Type-Options Referrer-Policy Ho sempre con...
posta 24.11.2017 - 13:36
2
risposte

Permettere che uno script non sicuro incorpori lo scopo del CSP?

Sto rivedendo le intestazioni di Content-Security-Policy impostate in uno dei nostri server Web e vedo che questo è come viene impostato (dove 'example.com' è il nostro sito Web attendibile). Content-Security-Policy: "default-src 'self'; sc...
posta 20.11.2018 - 12:16
2
risposte

È possibile sfruttare una vulnerabilità XSS su una pagina per eseguire codice su un'altra pagina?

Diciamo che la pagina A è vulnerabile a XSS, ma non contiene nulla di interessante per un utente malintenzionato. Pagina Un link alla pagina B che non è vulnerabile a XSS, ma contiene un target di alto valore per un utente malintenzionato (come...
posta 09.05.2016 - 22:31
2
risposte

A cosa serve proteggere la direttiva CSP-sri-for?

In base a Mozilla : The HTTP Content-Security-Policy require-sri-for directive instructs the client to require the use of Subresource Integrity for scripts or styles on the page. Non riesco a vedere il beneficio. L'SCP è progettato per...
posta 26.02.2018 - 12:51
1
risposta

È possibile specificare una politica di sicurezza del contenuto nei browser?

Normalmente, le politiche di sicurezza del contenuto vengono inviate nelle intestazioni di risposta dal server al browser client indicando ciò che è e non è accettabile caricare sul sito. C'è un modo per farlo al contrario, in modo da scrivere u...
posta 14.11.2017 - 18:52
2
risposte

CSP che segnala a un'altra origine

Stavo implementando un criterio CSP e ho impostato l'endpoint di reporting come un altro dominio, un'origine completamente separata. Sembrava che tutto andasse bene, ma parlando con alcuni amici sembravano sorpresi che funzionasse in quanto pens...
posta 02.12.2016 - 03:07
2
risposte

Dove si inseriscono i controlli di accesso nell'Hexad di Parker?

Gli elementi di sicurezza di Parkerian Hexad sono: Confidentiality Possession or Control Integrity Authenticity Availability Utility Dove si inseriscono i controlli di accesso (obbligatorio, discrezionale e ACL)?     
posta 02.12.2015 - 16:25
3
risposte

Il CSP è sufficiente per prevenire attacchi XSS [duplicato]

Supponendo che gli utenti stiano utilizzando browser moderni, sta implementando una policy CSP severa quanto basta per prevenire tutti gli attacchi XSS? Sto lavorando a un'app Backbone e mi chiedo se devo ancora visualizzare i dati degli ut...
posta 22.04.2015 - 12:16