Domande con tag 'content-security-policy'

1
risposta

Come controllo l'incorporamento multiplo del mio iframe?

Dominio example1.com incorpora il mio iframe. Dominio example2.com incorpora un iframe servito da example1.com . Imposterei X-Frame-Options: ALLOW FROM *.example1.com e Content-Security-Policy con frame-ancestors . Tu...
posta 06.09.2018 - 13:03
1
risposta

Qual è l'alternativa dell'intestazione del criterio di sicurezza del contenuto (CSP) in Internet Explorer IE?

Come menzionato nella documentazione sulla politica di sicurezza dei contenuti & dalla pagina "browser supportati" sul sito CSP, CSP non è supportato in Internet Explorer. Quindi, se vogliamo supportare CSP nella nostra applicazione con t...
posta 13.08.2018 - 10:40
1
risposta

Esiste un punto nell'utilizzo di 'strict-dynamic' in un'applicazione AngularJS 1.x?

Non vedo il punto nell'usare il nuovo strict-dynamic di CSP 3 nel caso di un'applicazione 1.x di AngularJS. Per quanto ne so, l'utilizzo di strict-dynamic consente comunque l'iniezione arbitraria di Javascript tramite l'escape di un...
posta 28.09.2016 - 15:03
1
risposta

CSP per segnalare le risorse HTTP?

Vorrei iniziare a introdurre un CSP su un sito. Vorrei iniziare aggiungendo un rapporto solo CSP e riportando solo contenuti misti, ad esempio quando le immagini vengono caricate da HTTP anziché da HTTPS. Ho stancato i tre seguenti: <met...
posta 14.09.2018 - 08:35
1
risposta

Content-Security-Policy voci sospette nel registro

Ho impostato l'intestazione Content-Security-Policy-Report-Only e sto a report-uri ottenendo un numero relativamente elevato (diverse centinaia al mese) di richieste non riuscite su img-src per URL sospetti: https://netanalytics.xyz/metri...
posta 24.05.2018 - 02:54
3
risposte

La politica di sicurezza del contenuto contro il clickjacking non riesce con PoC statico

Ho un dubbio sull'uso del Content Security Policy (CSP) come meccanismo di protezione contro il clickjacking. Ho creato una prova di concetto (PoC) online su una pagina Web in cui ho inserito un pulsante che carica l'URL specificato in un cam...
posta 12.12.2016 - 18:24
2
risposte

Se l'utente autenticato tenta di accedere a una risorsa limitata

Se un utente con autorizzazione per accedere alla risorsa A, prova ad accedere alla risorsa B (tentando di seguire un URL), quale delle seguenti è una soluzione migliore? Portali in una pagina di accesso negata standard, con un generico, "No...
posta 12.01.2016 - 17:21
0
risposte

"Errore meccanismo di protezione (CWE ID 693)

Dopo la scansione di sicurezza, stiamo riscontrando il problema del meccanismo di protezione (CWE ID 693) nelle nostre applicazione. La nostra intestazione attuale è impostata come indicato di seguito - Server: Apache X-Frame-Options: SAM...
posta 19.06.2018 - 10:54
1
risposta

Chrome rispetta l'intestazione X-DNS-Prefetch-Control?

Se la mia pagina web restituisce X-DNS-Prefetch-Control=off , Chrome eseguirà il prefetch DNS per collegamenti come questi?: <link rel="dns-prefetch" href="http://www.spreadfirefox.com/"> So che Firefox e Chromium rispettano quest...
posta 20.02.2018 - 16:51
0
risposte

Applicazione di firma fuori banda per transazioni bancarie

Lavoro su un progetto di firma bancaria. Le transazioni di firma devono essere eseguite su un'altra applicazione per rispettare il meccanismo "Out Of Band". Quando l'utente effettua una transazione, deve passare a una seconda applicazione (fu...
posta 05.04.2016 - 15:57