Preguntas con etiqueta 'content-security-policy'

preguntas con etiqueta
1
respuesta

¿Cuáles son algunas etiquetas y cargas útiles para la inyección de HTML en sitios protegidos por CSP?

Estoy probando un sitio web que corrigió la mayoría de sus vulnerabilidades de XSS simplemente agregando una Política de seguridad de contenido. Todavía hay inyecciones de HTML en varios lugares. He intentado obtener un archivo que contiene Java...
hecha 13.04.2015 - 10:55
1
respuesta

¿Cómo permitir scripts de forma segura pero evitando XSS?

Estamos tratando de encontrar la mejor manera de permitir JavaScript en una aplicación web mientras nos protegemos contra XSS. Los administradores del sitio tienen el privilegio de insertar JavaScript para controlar las plantillas del sitio y...
hecha 06.11.2018 - 01:01
1
respuesta

CSP base-uri directiva en "Ver fuente de página" en

Estoy en el proceso de implementar un encabezado CSP para una aplicación web, con el objetivo de reducir posibles ataques XSS. Consulte CSP para obtener una descripción general de CSP. Proporcioné la directiva base-uri como 'yo' y esto funcion...
hecha 08.03.2017 - 11:25
3
respuestas

¿Por qué Chrome me dice que la directiva CSP 'require-sri-for' se implementa detrás de una bandera que actualmente está deshabilitada?

En mi Política de Seguridad de Contenido he incluido require-sri-for script . Sin embargo, en la consola de Chrome recibo un aviso (no un error, solo información):    La directiva de Política de Seguridad de Contenido 'require-sri-for'...
hecha 24.02.2018 - 17:37
2
respuestas

CSP: peticiones de actualización inseguras: ¿qué sucede con los recursos incompatibles con https?

Tengo dos preguntas con respecto a la directiva CSP upgrade-insecure-requests que no pude responder yo mismo leyendo especificación . ¿Qué sucede con los recursos que no se pueden actualizar a https (por ejemplo, un certificado no vá...
hecha 06.11.2017 - 09:30
1
respuesta

Cómo agregar listas blancas específicamente a las bibliotecas JS que necesitan unsafe-eval

¿Es posible especificar los valores de la lista de origen en función del script src? El RFC lo menciona , pero no estoy seguro de su uso. Por ejemplo: Content-Security-Policy:default-src *; script-src 'unsafe-inline' 'self'; Content-Securi...
hecha 08.05.2015 - 11:56
2
respuestas

Encabezado de la política de seguridad del contenido que no detiene el ataque

Creé una aplicación web de prueba simple para probar el uso del encabezado de la política de seguridad de contenido. Incluí una vulnerabilidad en mi aplicación de prueba, de modo que el envío de una carga básica de XSS con etiquetas de script se...
hecha 19.11.2018 - 15:54
1
respuesta

¿existe una forma de bajo costo para registrar cada nuevo archivo creado en un host Linux?

Sé sobre inotify pero me preocupa que use demasiados recursos. ¿Existe una mejor manera de monitorear un sistema bastante estático (como un host web) para la creación de archivos nuevos e inesperados?     
hecha 27.11.2018 - 21:44
1
respuesta

¿Debo permitir las fuentes de script http en mi CSP, o imponer solo https?

Actualmente estoy intentando implementar un widget de terceros en mi sitio web. Ese widget intenta cargar algunos scripts a través de http, que actualmente no está permitido por mi política de seguridad de contenido. Me preocupa que configura...
hecha 30.11.2017 - 22:40
1
respuesta

¿El cumplimiento de la Política de seguridad de contenido (CSP) incrustado arruina un CSP "regular"?

Recientemente leí un borrador de trabajo del W3C sobre la aplicación integrada de una política de seguridad de contenido (CSP).    Este documento define un mecanismo mediante el cual una página web puede incrustar un contexto de navegación an...
hecha 22.06.2017 - 15:20