DEV beta •
  • Войти
  • Регистрация

Политика безопасности контента (CSP)

Полезное в сети 88 дней назад (12 января 2021)

Политика безопасности контента доставляется через заголовок ответа HTTP, как и HSTS, и определяет утвержденные источники контента, которые может загружать браузер. Это может быть эффективным средством противодействия атакам с использованием межсайтовых сценариев (XSS), а также широко поддерживается и обычно легко развертывается.

Политика безопасности контента

Зачем нам CSP?

Когда ваш браузер загружал эту страницу, он загружал вместе с ней множество других ресурсов. Существуют таблицы стилей и шрифты для загрузки вместе с довольно большим количеством файлов javascript. Один для системы комментариев Disqus, один для Google Analytics и др. Ваш браузер загружает эти ресурсы, потому что это указано в исходном коде страницы. У него нет возможности узнать, нужно или нет загружать какие-либо из этих файлов.

Злоумышленник мог разместить специально созданный комментарий в разделе комментариев, чтобы загрузить вредоносный javascript из стороннего домена, и он также будет загружен вашим браузером, поскольку он был включен вместе со страницей. У вашего браузера нет причин не доверять контенту сайта и нет возможности узнать, что контент является вредоносным. Здесь на помощь приходит CSP.

Внесение разрешенных источников в белый список

Заголовок CSP позволяет вам определять утвержденные источники контента на вашем сайте, который может загружать браузер. Указав только те источники, из которых вы хотите, чтобы браузер загружал контент, вы можете защитить своих посетителей от целого ряда проблем. Вот основной заголовок ответа CSP.

Content-Security-Policy: script-src 'self'

Возвращаясь к приведенному выше примеру, когда злоумышленник использует специально созданный комментарий для загрузки JavaScript из другого домена, этот заголовок CSP предотвратит загрузку содержимого браузером из сайта. В script-src директиве определяется белый список источников, что браузер может загружать.

Что мы можем защитить?

CSP поставляется с широким набором директив, которые можно использовать для обеспечения соблюдения политики в отношении всего контента и обстоятельств.

Вот список всех доступных директив вместе с кратким описанием, любезно предоставленный OWASP:

https://owasp.org/www-community/attacks/Content_Security_Policy

# безопасность
Wiki (WIki) +9
132
+5

Читать

Ведете ли вы журнал «готовых к публикации» статей?
Я создал свой сайт-портфолио, используя только HTML и CSS!
Единственная метрика, которая имеет значение!
Комментарии (8)
Evg 12 января 2021 в 12:42 # +3

Мне понравилось, как эта политика была реализована в Discourse и решил тут повторить это. Пусть будет ещё одной линией обороны. ) Однако, проверять сценарий желательно с выключенной политикой. Иногда есть тенденции, что ставку делают на неё только. Не особо верно. Без неё всё должно быть нормально, и тогда её включаем.

[-] [+] Ответить
Комментарии скрыты...
yuran 13 января 2021 в 15:28 # +1

Вот звезды сошлись:)) Тоже недавно для поставил YetiForceCRM посмотреть, в админке рисует, что не все в порядке... Фото

Кто знает где менять эти параметры?

И вот еще одна загадка:))

Фото

Можете подсказать что за cron (CLI)... Прошу извинить если не совсем в тему, админ если что - удали.

[-] [+] Ответить
Комментарии скрыты...
Evg 13 января 2021 в 15:54 # ⇧ +2

Я даже не знаю, что такое YetiFroce CRM, пришлось гуглить. На первом фото, заголовки, например: X-Robots-Tag. А на втором фото, посмотрите настройку Opcache:

https://yandex.ru/support/webmaster/controlling-robot/meta-robots.html

https://www.php.net/manual/ru/opcache.configuration.php

[-] [+] Ответить
Комментарии скрыты...
yuran 13 января 2021 в 16:02 # ⇧ +1

Да я смотрел, в ISPmanager все меняется для режимов php: apache, CGI, PHP-FPM... А что за cron (CLI) сие неведомая тайна для меня:)) Здесь смотрел /etc/php/7.4/cli/php.ini но ничего не нашел там... В поддержку хостинга написал - там просят какие то ошибки им пошагово воспроизвести:)) Говорю нет ошибок - как поменять третий столбец?:))

[-] [+] Ответить
Комментарии скрыты...
Evg 13 января 2021 в 18:00 # ⇧ +1

Не знаю, что это такое. Три варианта, три колонки, можно сделать по рекомендованной, если правильно понимаю эту таблицу. Поддержка хостинга может и не помочь, если нет ошибок. Они в настройки скрипта обычно не лезут, не их дело скажут.

[-] [+] Ответить
Комментарии скрыты...
yuran 13 января 2021 в 23:09 # +1

Так и не победил:( Все конфигурации php проверил и CLI в том числе.... Откуда она берет эти данные непонятно... Ладно пес с ней, пусть пока болтается... Хоть к нашей теме никаким боком, но так то комбайн будь здоров:)

Фото

[-] [+] Ответить
Комментарии скрыты...
Evg 13 января 2021 в 23:15 # ⇧ +2

Много всего. Для организации, когда сотрудников много, вот пускай занимаются делом. )

[-] [+] Ответить
Комментарии скрыты...
yuran 14 января 2021 в 00:06 #

Согласен:)

[-] [+] Ответить
Комментарии скрыты...
+ Добавить комментарий
Полезное в сети Полезное в сети
+ 173 Создан: 2020-11-08 17:08:40
Различные материалы по блоговой сфере. CMS, полезные новости, сравнение различных платформ. Блоги, мультиблоги и различные CMS.

Комментарии

01
Даешь революцию! А то расслабились, шуточки все. ) Ладно пошел далее...
+ 2 — вчера в 10:14
02
Ого сколько букв. ) It's amazing!
+ 3 — вчера в 10:04
03
Tildes да, Python + PostgreSQL. Ссылку где-то у них в документации можно...
+ 2 — 8 апреля 2021
04
А они Open source?
+ 1 — 8 апреля 2021
05
Интересные материалы, где вы только их находите. :)
+ 2 — 7 апреля 2021
все...

О блоге

О блоге Правила

Информация

Все блоги Статистика блогов

Другое

Участники Комментарии

Соц. сети

AreaDev © 2021 — скрипт мультиблога
↑