Публикации по теме 'content-security-policy'
Политика безопасности контента
Политика безопасности содержимого (CSP) — это заголовок протокола передачи гипертекста (HTTP), который отправляется в браузер и контролирует, какие ресурсы могут быть получены из других доменов. Современные веб-сайты используют внешние ресурсы для оформления страниц, изменения шрифтов, запуска библиотек и т. д. Как веб-разработчику важно понимать CSP для защиты ваших сайтов и предотвращения вредоносных атак, таких как межсайтовый скриптинг (XSS).
То, что вы должны знать
Прежде чем узнать..
Повышение безопасности JavaScript с помощью политик безопасности контента
Установите границы для выполнения вашего JavaScript с помощью CSP, чтобы противостоять широкому спектру угроз безопасности
Насколько вы уверены, что ваш код JavaScript защищен от злоумышленников? И почему вас это должно волновать? Когда мы смотрим на современные веб-приложения, общим является то, что все они используют JavaScript. В некоторых приложениях преобладает JavaScript, внося свой вклад в большую часть кода. Одним из важных свойств JavaScript является то, что код, который мы..
Путь Optimizely к политике безопасности контента
Наше основное приложение https://app.optimizely.com теперь защищено Политикой безопасности контента (CSP). Благодаря этому изменению наши пользователи защищены от атак межсайтового скриптинга (XSS), которые OWASP называет наиболее распространенной уязвимостью безопасности веб-приложений ; для более подробного обзора ознакомьтесь с книгой Майка Уэста Введение в CSP . Прошло чуть больше года с того момента, когда мы впервые развернули CSP в режиме Report-Only , до того момента,..
Scrip-src : одноразовый номер или хэш-алгоритм.
Настройка script-src
Что такое CSP?
Политика безопасности контента (CSP) Политика безопасности контента (CSP) — это дополнительный уровень безопасности, который помогает обнаруживать и смягчать определенные типы атак… разработчик. mozilla.org
CSP мертв, да здравствует CSP! О небезопасности белых списков и будущем безопасности контента… Политика безопасности контента — это механизм веб-платформы,..
Как установить заголовки безопасности CSP в NextJs с «строгим динамическим» и одноразовым номером или хэшем
Как установить директивы CSP в NextJs с «строгой динамикой» и одноразовым номером или хэшем
Я потратил несколько часов, чтобы найти решение этой проблемы. Я думал, что если вы здесь, то вы точно знаете, о чем мы говорим, и не предложили эффективного решения. Если вам нужно узнать о директивах CSP, мы рекомендуем «погуглить!». Важно реализовать это в своих проектах.
Вам нужно отредактировать эти файлы: next.config.js и pages/_document.tsx
// next.config.js
const crypto =..
Разработка расширений Chrome в React
Безопасность - это сложно, но оно того стоит!
Я работаю над переносом личного расширения Chrome на React, и мне не понравилось, что браузер поддерживает политику безопасности контента. По умолчанию Webpack генерирует то, что он называет «фрагментом времени выполнения», во встроенном элементе script в файле index.html. Однако Chrome применяет политику безопасности содержимого по умолчанию script-src ‘self' , запрещающую встроенные скрипты.
Пытаясь исправить это, я прочитал о Политике..
Политика безопасности контента (CSP) в приложении Create-React (CRA)
Политика безопасности контента (CSP) в приложении Create-React (CRA)
Написание подходящей политики CSP может потребовать некоторых изменений в конвейере сборки приложения для получения и вычисления хэшей для используемых встроенных скриптов и стилей. CRA - один из инструментов сборки, который я использую в разных проектах.
Я пытаюсь добавить несколько встроенных скриптов для Google Analytics и Hubspot. Также я предпочитаю сохранять runtime js как встроенный скрипт. Я решил..