Domande con tag 'content-security-policy'

domande con tag
1
risposta

Intestazione CSP default-src: data:

Sto testando l'implementazione dell'intestazione CSP. Il valore di intestazione implementato è: Content-Security-Policy: default-src 'self' data:; style-src 'self' 'unsafe-inline'; script-src 'self' 'unsafe-inline' 'unsafe-eval' X-Content-Secu...
posta 07.05.2018 - 20:06
2
risposte

Quale vulnerabilità espone javascript in linea e gestori di eventi? [duplicare]

Sto cercando di capire perché alcuni CSP bloccano il javascript in linea. La preoccupazione è che un utente sia in grado di inserire javascript che verrà poi offerto ad altri utenti? Se è così, non è questo un problema con il fatto che un uten...
posta 08.10.2017 - 07:45
1
risposta

Sicurezza su una rete wifi PEAP sul telefono

Uso la mia rete aziendale per snapchat, Facebook ecc La mia rete dell'ufficio utilizza PEAP come metodo EAP. E utilizza i certificati di sistema durante la connessione Mi richiede di connettermi al dominio che è il mio companyname.com e poi l...
posta 17.10.2016 - 10:15
1
risposta

È possibile utilizzare CSP per un video player basato su Javascript?

Alcuni dei miei colleghi stanno sviluppando un lettore video che utilizza Javascript. AFAIK, non avremo nessun sito web. I client si connetteranno al server, scaricheranno il codice javascript e quindi renderanno il giocatore nel loro sito. I...
posta 19.02.2016 - 12:55
2
risposte

Impedire che una pagina web venga colpita da un altro server

Un attacco DDoS può derivare da un sito Web che tenta di accedere alla risorsa di un altro sito web. Ad esempio, example.com (attaccante) sta tentando di accedere alle risorse su example.net (vittima). Le informazioni che ho raccolt...
posta 31.01.2016 - 21:23
1
risposta

Se una ricerca Web con i risultati di Evernote è una preoccupazione?

Durante l'utilizzo di un browser basato su Chromium (Chromodo) e facendo una normale ricerca su Google, Evernote ora appare sul lato con "risultati correlati nelle note". Qualcuno sa come lo stanno facendo? * Non vedo alcun plugin aggiunti...
posta 10.07.2015 - 19:14
0
risposte

WebWorker Hash-Source CSP importScripts

Ho cercato di spostare il mio sito su CSP hash-source anziché su CSP host-source per verificare l'integrità dei file distribuiti da un CDN. Ho un WebWorker in esecuzione in background, che importa alcuni script da un CDN tramite la funzione i...
posta 18.05.2018 - 21:46
0
risposte

Applicazione pagina singola e token CSRF generati ogni volta

Ho bisogno di utilizzare un'applicazione a pagina singola (React, Ember, Angular, non mi interessa) con il meccanismo di protezione CSRF di Rails. Mi chiedo se devo creare un token evey time nel ApplicationController come questo: class...
posta 07.05.2018 - 00:41
0
risposte

Su Android, l'utilizzo di "Custom URI Scheme" con "OAUTH 2.0" è sicuro?

Qualcuno può registrare lo stesso Custom URI Scheme (forse un hacker), e in tal caso come posso impedire ad altre app di registrare lo stesso Custom URI Scheme . Se ci sono buone alternative a Custom URI Scheme ? e perché usarli...
posta 27.02.2018 - 22:04
0
risposte

I report di violazione CSP sono disponibili sulla pagina all'interno di una pagina come oggetti JS

Implementerò presto un CSP su un grande sito e mi piacerebbe integrare le violazioni nel nostro MI / Reporting esistente Mi piacerebbe molto se le informazioni del report fossero disponibili all'interno della pagina, in modo che l'oggetto JSO...
posta 13.03.2018 - 19:15