Preguntas con etiqueta 'content-security-policy'

preguntas con etiqueta
2
respuestas

XSS y Política de seguridad de contenido

¿Se puede prevenir XSS 100% al establecer la política de seguridad de contenido como default-src 'self' ? ¿Hay alguna manera de que XSS pueda suceder en ese caso? Una posibilidad que se me ocurre es inyectar de forma dinámica las entrada...
hecha 17.08.2016 - 01:36
2
respuestas

Asegurar la arquitectura de micro servicios internamente

Estoy implementando una solución con un conjunto de Micro Services (Spring Rest Services) con Rabbit MQ como intermediario de mensajes. El servidor perimetral se autentica utilizando un servidor de identidad basado en OAuth. Las llamadas interna...
hecha 22.12.2016 - 23:03
1
respuesta

Resultado deficiente en securityheaders.io para google.com

Acabo de probar google en securityheaders.io y el resultado fue D . Google no está configurando los siguientes encabezados de seguridad Política de seguridad del contenido Opciones de tipo de contenido X Política de referencia...
hecha 24.11.2017 - 13:36
2
respuestas

¿Permitir que el script inseguro en línea anule el propósito de la CSP?

Estoy revisando los encabezados de Política de Seguridad de Contenido establecidos en uno de nuestros servidores web y veo cómo se configura (donde "example.com" es nuestro sitio web de confianza).    Política de seguridad del contenido: "def...
hecha 20.11.2018 - 12:16
2
respuestas

¿Puede explotar una vulnerabilidad XSS en una página para ejecutar el código en otra página?

Digamos que la página A es vulnerable a XSS, pero no contiene nada de interés para un atacante. La página A enlaza con la página B que no es vulnerable a XSS, pero contiene un objetivo de alto valor para un atacante (como un formulario de inicio...
hecha 09.05.2016 - 22:31
2
respuestas

¿Contra qué protege la directiva CSP-sri-for?

Según Mozilla :    La directiva HTTP Content-Security-Policy require-sri-for le indica al cliente que requiera el uso de Subresource Integrity para los scripts o estilos en la página. No veo el beneficio. El SCP está diseñado par...
hecha 26.02.2018 - 12:51
1
respuesta

¿Es posible especificar una política de seguridad de contenido en los navegadores?

Normalmente, las políticas de seguridad de contenido son enviadas en los encabezados de respuesta por el servidor al navegador del cliente y le dicen qué es y qué no es aceptable cargar en el sitio. ¿Hay alguna manera de hacer esto a la inversa,...
hecha 14.11.2017 - 18:52
2
respuestas

CSP reportando a otro origen

Estaba implementando una política de CSP y configuré el punto final de informes como otro dominio, un origen completamente separado. Todo parecía funcionar bien, pero al hablar con algunos amigos, parecían sorprendidos de que funcionara porque p...
hecha 02.12.2016 - 03:07
2
respuestas

¿Dónde encajan los controles de acceso en el hexadecimal de Parker?

Los elementos de seguridad del Parkerian Hexad son: Confidentiality Possession or Control Integrity Authenticity Availability Utility ¿Dónde encajan los controles de acceso (obligatorio, discrecional y ACL)?     
hecha 02.12.2015 - 16:25
3
respuestas

Es CSP suficiente para prevenir ataques XSS [duplicado]

Suponiendo que los usuarios utilizan navegadores modernos, ¿es suficiente implementar una política estricta de CSP para evitar todos los ataques XSS? Estoy trabajando en una aplicación Backbone, y me pregunto si todavía tengo que ser datos...
hecha 22.04.2015 - 12:16