Preguntas con etiqueta 'content-security-policy'

preguntas con etiqueta
3
respuestas

¿El encabezado de la Política de seguridad de contenido proporciona una falsa sensación de seguridad si una página se sirve a través de HTTP sin cifrar?

He estado pensando en cómo un desarrollador restringido (por cualquier razón) para servir un sitio no cifrado podría protegerse de amenazas como ISPs demasiado entusiastas que inyectan anuncios o notificaciones en sus páginas, o niños de secuenc...
hecha 28.09.2015 - 22:51
2
respuestas

HTTP Content-Policy-Security-Nonce and Caching

¿Alguien aquí puede aclarar cómo afecta el almacenamiento en caché al agregar un nonce=value a todos los javascript en línea? Si el nonce debe ser único e impredecible, entonces uno tendría que deshabilitar todo el caché del lado del s...
hecha 03.12.2016 - 00:22
2
respuestas

¿Hay un equivalente de HSTS para especificar la versión TLS?

HSTS me permite forzar a los clientes a que se conecten a mi sitio web mediante HTTPS, pero no especifica la versión de SSL, TLS ni los cifrados que estoy prohibiendo. ¿Existe alguna alternativa o extensión de HSTS que me permita especificar...
hecha 12.09.2015 - 01:47
3
respuestas

¿Cuáles son las limitaciones de la Política de seguridad de contenido?

Me pregunto contra qué no nos protegerá esta nueva técnica. Tal como lo veo, ya que los scripts en línea están deshabilitados (y supongo que incluyen javascript: enlaces), entonces resuelve el problema del robo encubierto de datos conf...
hecha 27.07.2016 - 14:27
1
respuesta

¿Cuál es la diferencia entre antecesores de marco y child-src?

Ambas opciones parecen controlar quién puede incrustar el contenido en una etiqueta <iframe> , al igual que lo hace X-Frame-Options . Chrome y Safari están en desuso de este encabezado (parcialmente, allow-from por ejemp...
hecha 30.11.2016 - 10:13
1
respuesta

Política de seguridad del contenido: Obtención de informes extraños con 'self' de antepasados de marcos

En este momento, mantengo la Política de seguridad de contenido para enlace , que es: Content-Security-Policy: frame-ancestors 'self'; block-all-mixed-content; report-uri https://lidlcsp.report-uri.io/r/default/csp/enforce; La parte con an...
hecha 30.10.2017 - 16:01
1
respuesta

¿Se puede detener el enlace de BeEF con las políticas de seguridad de contenido?

Sé que usar valores estrictos para default-src y scripts-src es una forma popular de prevenir (o al menos limitar el impacto) de ataques XSS. Pero me preguntaba si los CSP se pueden usar para evitar que los atacantes / pentestes enganchen a los...
hecha 08.04.2018 - 00:36
1
respuesta

Política de seguridad del contenido e inicio de sesión de Facebook

Esta pregunta parece estar relacionada con enlace , pero no estoy desarrollando una extensión de Chrome. Estoy desarrollando una aplicación web normal. Estoy tratando de integrar el inicio de sesión de Facebook en mi sitio web, que tiene u...
hecha 18.04.2014 - 12:39
1
respuesta

Vulnerabilidad de XSS con CSP estricto

El artículo I'm Recoger números de tarjeta de crédito y contraseñas de su sitio. A continuación, se explica cómo. describe las fases de un ataque teórico en el que un atacante puede pasar por alto un CSP estricto y eliminar información confide...
hecha 08.01.2018 - 03:12
1
respuesta

¿Cómo habilita una vulnerabilidad XSS un maps.googleapis.com de confianza en CSP? (JSONP)

Estoy probando la herramienta CSP Evaluator , y tengo una pregunta sobre la siguiente política de seguridad de contenido:    default-src enlace La herramienta considera esto como un alto riesgo:    maps.googleapis.com es conocido po...
hecha 29.09.2016 - 10:59