Słyszałeś o Content Security Policy? W prostych słowach to: „ostatnia linia obrony przed atakami XSS”.
Informujemy przeglądarkę jakie zasoby może wyświetlić.
Jednak prawidłowe skonfigurowanie CSP nie jest takie proste:
• Unikaj unsafe-inline
• Podczas ładowania skryptów skorzystaj z nonce-losowa_wartość
• Jeżeli używasz eventów onlick spróbuj je przepisać na addEventListener(’click’, function(){});
• Zezwalasz na pliki JS z serwera CDN? Uważaj na obejścia przy pomocy endpointów JSONP
• Możesz kontrolować nie tylko JavaScript ale także ładowane obrazki, style CSS czy nawet adresy, pod które mogą być przesyłane formularze
• Nie wdrażaj polityki od razu na produkcji. Skorzystaj z trybu raportowania Content-Security-Policy-Report-Only
• Poprawność (i potencjalne błędy) możesz sprawdzić przy użyciu CSP Evaluator
Temat Cię zainteresował? Więcej o CSP opowiadam tutaj.
Subskrybuj kanał na YouTube
Chcesz otrzymywać takie materiały na swój email? Dołącz do newslettera.
Masz pytanie na temat bezpieczeństwa? Zadaj je na grupie od 0 do pentestera na Facebooku.
Korzystasz z Discorda? Zapraszam do rozmów na naszym kanale.
Jeżeli chcesz być wołany – zaplusuj pierwszy komentarz.
#od0dopentestera #gruparatowaniapoziomu #ciekawostki #informatyka #nauka #swiat #technologia #zainteresowania #bezpieczenstwo #komputery