ANTICHAT Forum
HOME FORUMS MEMBERS RECENT POSTS LOG IN  
× Авторизация
Имя пользователя:
Пароль:
Нет аккаунта? Регистрация
НОВЫЕ ТОРГОВАЯ НОВОСТИ
loading...
Скрыть
Вернуться   ANTICHAT > БЕЗОПАСНОСТЬ И УЯЗВИМОСТИ > Уязвимости > Веб-уязвимости
   
Ответ
 
Опции темы Поиск в этой теме Опции просмотра

Content Security Policy — работает ли она вообще?
  #1  
Старый Вчера, 18:40
bacsic
Новичок
Регистрация: 04.12.2012
Сообщений: 8
С нами: 7072886

Репутация: 0
По умолчанию Content Security Policy — работает ли она вообще?

Кто давно в теме, наверняка слышал про Content Security Policy (CSP). Суть простая — это заголовок, который помогает подстраховаться от всякого рода атак с внедрением скриптов и прочего мусора на странице. При правильной настройке CSP может реально помочь снизить риски XSS и ещё пару подвохов.

Но вот фишка — настроить её так, чтобы не убить свой же сайт, не так просто. Есть базовый вариант с директивой default-src, которая задаёт общие правила, а есть разношёрстные варианты вроде script-src, style-src и так далее. Плюс можно подключить report-uri, чтоб знать, когда что-то пошло не так.

Проверить CSP очень просто — достаточно глянуть в ответ сервера в разделе заголовков и сверить правила с тем, что у тебя реально используется на сайте. Если что-то запрещает и ломает функционал — скорость надо корректировать. В идеале CSP “белый список” нужен, а не “черный”, иначе легко что-то сломать.
 
Ответить с цитированием
Ответ



Предыдущая тема Следующая тема

Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
 


Быстрый переход




ANTICHAT ™ © 2001- Antichat Kft.