Domande con tag 'content-security-policy'

domande con tag
1
risposta

Quali sono alcuni utili tag e payload per l'iniezione HTML su siti protetti da CSP?

Sto testando con penna un sito Web che ha risolto gran parte delle sue vulnerabilità XSS semplicemente aggiungendo una politica di sicurezza dei contenuti. Ci sono ancora iniezioni di HTML in diversi punti. Ho cercato di ottenere un file contene...
posta 13.04.2015 - 10:55
1
risposta

Come abilitare in sicurezza gli script ma prevenire l'XSS?

Stiamo cercando di trovare il modo migliore per consentire JavaScript in un'applicazione web mentre si è al sicuro contro XSS. Gli amministratori del sito hanno il privilegio di inserire JavaScript per controllare i modelli del sito e pubblic...
posta 06.11.2018 - 01:01
1
risposta

Direttiva CSP base-uri su "Visualizza origine pagina" su

Sono in procinto di implementare un'intestazione CSP per un'applicazione web, con l'obiettivo di ridurre possibili attacchi XSS. Vedi CSP per una panoramica di CSP. Ho fornito la direttiva base-uri come 'self' e questo funziona come previsto c...
posta 08.03.2017 - 11:25
3
risposte

Perché Chrome mi dice che la direttiva CSP 'require-sri-for' è implementata dietro un flag che è attualmente disabilitato?

Nella mia politica di sicurezza dei contenuti ho incluso require-sri-for script . Tuttavia, nella console di Chrome viene visualizzato un avviso (non un errore, solo informazioni): The Content-Security-Policy directive 'require-sri-for'...
posta 24.02.2018 - 17:37
2
risposte

CSP: upgrade-insecure-request - cosa succede con le risorse incompatibili con https?

Ho due domande sulla direttiva CSP upgrade-insecure-requests che non ho potuto rispondere leggendo specifica . Che cosa succede alle risorse che non possono essere aggiornate a https (ad esempio certificato non valido)? Saranno bloccat...
posta 06.11.2017 - 09:30
1
risposta

Come abilitare la lista bianca delle librerie JS che necessitano di una valutazione non sicura

È possibile specificare i valori dell'elenco sorgente in base allo script src. La RFC menziona , ma non sono sicuro del suo utilizzo. Ad esempio: Content-Security-Policy:default-src *; script-src 'unsafe-inline' 'self'; Content-Security-Po...
posta 08.05.2015 - 11:56
2
risposte

Content Security Policy Intestazione che non interrompe l'attacco

Ho creato una semplice applicazione web di test per testare l'utilizzo dell'intestazione del criterio di sicurezza del contenuto. Ho incluso una vulnerabilità nella mia app di test, in modo tale che l'invio di un payload XSS di base con tag di s...
posta 19.11.2018 - 15:54
1
risposta

esiste un modo poco dettagliato per registrare ogni nuovo file creato su un host Linux?

Conosco inotify , ma temo che utilizzi troppe risorse. C'è un modo migliore per monitorare un sistema abbastanza statico (come un host web) per la creazione di file nuovi e inattesi?     
posta 27.11.2018 - 21:44
1
risposta

Devo consentire le fonti di script http nel mio CSP o applicare solo https?

Attualmente sto cercando di implementare un widget di terze parti nel mio sito web. Quel widget tenta di caricare alcuni script su http, che al momento non è consentito dalla mia politica di sicurezza del contenuto. Sono preoccupato che l'imp...
posta 30.11.2017 - 22:40
1
risposta

L'applicazione di un regolamento CSP (Embedded Content Security Policy) rovina un CSP "normale"?

Recentemente ho letto una bozza di lavoro del W3C sull'applicazione integrata di una politica di sicurezza dei contenuti (CSP). This document defines a mechanism by which a web page can embed a nested browsing context if and only if it agre...
posta 22.06.2017 - 15:20