Preguntas con etiqueta 'content-security-policy'

2
respuestas

prevención XSS a través de la Política de Seguridad de Contenido

¿Cómo puede la Política de seguridad de contenido (CSP) reducir significativamente el riesgo y el impacto de los ataques XSS en los navegadores modernos? ¿Es posible eludir CSP para ejecutar XSS?     
hecha 25.06.2013 - 15:48
2
respuestas

¿Por qué se necesita CSP para protegerse contra la fuga de img-src?

GitHub explica el problema con img-src en "Viaje post-CSP de GitHub" :    Una etiqueta con una comilla no cerrada capturará toda la salida hasta la siguiente   cita coincidente. Esto podría incluir contenido sensible a la seguridad en...
hecha 26.01.2017 - 08:53
2
respuestas

¿Es seguro incluir el esquema de datos en su Política de seguridad de contenido?

Tengo una aplicación Cordova que transforma algunas imágenes a base64. Esto viola la CSP con este mensaje:    Se negó a cargar la imagen   'datos: imagen / svg + xml; conjunto de caracteres = US-ASCII,% 3C% 3Fxml% 20version% 3D% 221.0% 22% 20...
hecha 26.07.2015 - 19:58
1
respuesta

¿Es seguro enviar el encabezado Content-Security-Policy solo para texto / html content-type?

¿Es seguro enviar Content-Security-Policy para páginas generadas dinámicamente con text/html y otros tipos de contenido de hipertexto solamente o debo enviar este encabezado para todos los archivos, incluidos los activos estáticos:...
hecha 25.05.2018 - 16:14
3
respuestas

Informes CSP: ignorando el software malicioso del cliente

Estoy viendo muchos informes de Política de seguridad de contenido (CSP) generados debido al malware del lado del cliente. Muchos tienen entradas " blocked-uri " como randomstring.cloudfront.net , something.akamaihd.net , etc....
hecha 15.05.2014 - 11:21
2
respuestas

Iframe heredando la Política de seguridad de contenido de los padres

Tengo una página principal que tiene una Política de seguridad de contenido. El propósito principal de CSP no es prevenir XSS, sino prevenir el acceso a la red. Esta página tiene que ejecutar algún HTML / CSS / JS generado / enviado por el usuar...
hecha 11.11.2016 - 11:53
2
respuestas

Problema en underscore.js con "nueva función ()" cuando se establece el encabezado CSP

En underscore.js, la representación de la plantilla provoca la violación de la propiedad 'unsafe-eval', con un error de CSP en la siguiente línea: render = new Function(settings.variable || 'obj', '_', source); La solución a esto en algunos...
hecha 06.05.2015 - 09:23
4
respuestas

Hash de la Política de Seguridad del Contenido del script

<?php header("Content-Security-Policy: default-src 'sha256-".base64_encode(hash('sha256', 'console.log("Hello world");', true))."'"); ?> <script>console.log("Hello world");</script> Sin embargo, todavía recibo en Chrome:  ...
hecha 27.05.2014 - 03:42
4
respuestas

¿CSP permite todos los dominios de Google?

Estoy intentando desarrollar un CSP para el sitio enlace . En este momento hay una política que se ejecuta en modo de solo informe, por lo que no hay nada bloqueado en este momento. El sitio se pone en contacto con googleads.g.doubleclick...
hecha 15.12.2016 - 12:13
3
respuestas

¿La Política de seguridad de contenido solo se aplica durante el procesamiento inicial?

¿Se aplica el CSP solo durante el procesamiento inicial, lo que significa que no hay cobertura continua después de que se cargue el documento? Aquí hay un ejemplo de lo que estoy hablando: Supongamos que su página, example.com , tiene a...
hecha 26.10.2016 - 21:13