Línea de código de política de seguridad de contenido para principiantes

0

Soy muy nuevo en desarrollo web, y necesito hacer que mi sitio web sea un poco más seguro agregando un simple código Content-Security-Policy .

Aquí están mis preguntas:

  1. ¿Es esta línea de código Header set Content-Security-Policy "default-src 'self'" suficiente para evitar que un usuario / atacante desconocido agregue códigos maliciosos?

  2. Para que este código Header set Content-Security-Policy "default-src 'self'" funcione, todo lo que debo hacer es ingresarlo en mi archivo .htaccess ?

pregunta googol8080 20.09.2016 - 14:42
fuente

1 respuesta

2

El encabezado evitará que archivos de recursos se carguen desde cualquier lugar, excepto el dominio de origen.

Sin embargo, no evitará que se produzcan secuestros de usuarios intermedios o del navegador que pueden insertar dinámicamente cambios en la página, ya que no intentan cargar un archivo de recursos separado en lo que respecta al navegador.

Header set Content-Security-Policy "default-src 'self'"

Es de hecho la entrada correcta .htaccess de Apache.

Para evitar los secuestros de MiTM, debe asegurarse de que todos los recursos se entreguen encriptados a través de HTTPS. Use la fijación de certificados para ayudar a prevenir la decodificación de MiTM.

Para evitar el uso indebido del navegador, primero asegúrese de que todos los clientes tengan instalado y actualizado un sólido bloqueo de anuncios (si está en una red controlada, hágalo a nivel de red). Eso evita los secuestros de drive-by que son cada vez más comunes. Otras formas provendrían de malware en la PC, por lo que debe asegurarse de que los usuarios actualicen sus antivirus constantemente y estén familiarizados con los ataques, como el phishing, que no abran documentos no confiables y que nunca ejecuten aplicaciones a menos que se conozcan. las cosas habituales de seguridad del cliente.

    
respondido por el Julian Knight 20.09.2016 - 15:01
fuente

Lea otras preguntas en las etiquetas