Публикации по теме content-security-policy

Публикации по теме 'content-security-policy'

Политика безопасности контента

Политика безопасности содержимого (CSP) — это заголовок протокола передачи гипертекста (HTTP), который отправляется в браузер и контролирует, какие ресурсы могут быть получены из других доменов. Современные веб-сайты используют внешние ресурсы для оформления страниц, изменения шрифтов, запуска библиотек и т. д. Как веб-разработчику важно понимать CSP для защиты ваших сайтов и предотвращения вредоносных атак, таких как межсайтовый скриптинг (XSS). То, что вы должны знать Прежде чем узнать..

Повышение безопасности JavaScript с помощью политик безопасности контента

Установите границы для выполнения вашего JavaScript с помощью CSP, чтобы противостоять широкому спектру угроз безопасности Насколько вы уверены, что ваш код JavaScript защищен от злоумышленников? И почему вас это должно волновать? Когда мы смотрим на современные веб-приложения, общим является то, что все они используют JavaScript. В некоторых приложениях преобладает JavaScript, внося свой вклад в большую часть кода. Одним из важных свойств JavaScript является то, что код, который мы..

Путь Optimizely к политике безопасности контента

Наше основное приложение https://app.optimizely.com теперь защищено Политикой безопасности контента (CSP). Благодаря этому изменению наши пользователи защищены от атак межсайтового скриптинга (XSS), которые OWASP называет наиболее распространенной уязвимостью безопасности веб-приложений ; для более подробного обзора ознакомьтесь с книгой Майка Уэста Введение в CSP . Прошло чуть больше года с того момента, когда мы впервые развернули CSP в режиме Report-Only , до того момента,..

Scrip-src : одноразовый номер или хэш-алгоритм.

Настройка script-src Что такое CSP? Политика безопасности контента (CSP) Политика безопасности контента (CSP) — это дополнительный уровень безопасности, который помогает обнаруживать и смягчать определенные типы атак… разработчик. mozilla.org CSP мертв, да здравствует CSP! О небезопасности белых списков и будущем безопасности контента… Политика безопасности контента — это механизм веб-платформы,..

Как установить заголовки безопасности CSP в NextJs с «строгим динамическим» и одноразовым номером или хэшем

Как установить директивы CSP в NextJs с «строгой динамикой» и одноразовым номером или хэшем Я потратил несколько часов, чтобы найти решение этой проблемы. Я думал, что если вы здесь, то вы точно знаете, о чем мы говорим, и не предложили эффективного решения. Если вам нужно узнать о директивах CSP, мы рекомендуем «погуглить!». Важно реализовать это в своих проектах. Вам нужно отредактировать эти файлы: next.config.js и pages/_document.tsx // next.config.js const crypto =..

Разработка расширений Chrome в React

Безопасность - это сложно, но оно того стоит! Я работаю над переносом личного расширения Chrome на React, и мне не понравилось, что браузер поддерживает политику безопасности контента. По умолчанию Webpack генерирует то, что он называет «фрагментом времени выполнения», во встроенном элементе script в файле index.html. Однако Chrome применяет политику безопасности содержимого по умолчанию script-src ‘self' , запрещающую встроенные скрипты. Пытаясь исправить это, я прочитал о Политике..

Политика безопасности контента (CSP) в приложении Create-React (CRA)

Политика безопасности контента (CSP) в приложении Create-React (CRA) Написание подходящей политики CSP может потребовать некоторых изменений в конвейере сборки приложения для получения и вычисления хэшей для используемых встроенных скриптов и стилей. CRA - один из инструментов сборки, который я использую в разных проектах. Я пытаюсь добавить несколько встроенных скриптов для Google Analytics и Hubspot. Также я предпочитаю сохранять runtime js как встроенный скрипт. Я решил..