Preguntas con etiqueta 'content-security-policy'

preguntas con etiqueta
1
respuesta

¿Cómo controlo la incrustación de mi iframe con múltiples nidos?

El dominio example1.com incrusta mi iframe. El dominio example2.com incrusta un iframe servido desde example1.com . Definiría X-Frame-Options: ALLOW FROM *.example1.com así como Content-Security-Policy con frame-ances...
hecha 06.09.2018 - 13:03
1
respuesta

¿Cuál es la alternativa del encabezado de la política de seguridad de contenido (CSP) en Internet Explorer IE?

Como se menciona en la documentación de la Política de seguridad de contenido & desde la página de "navegadores compatibles" en el sitio de CSP, no se admite CSP en Internet Explorer. Entonces, si queremos admitir CSP en nuestra aplicació...
hecha 13.08.2018 - 10:40
1
respuesta

¿Hay algún punto en el uso de 'estrictamente dinámico' en una aplicación AngularJS 1.x?

No veo el punto de usar el nuevo strict-dynamic de CSP 3 en el caso de una aplicación AngularJS 1.x. Por lo que puedo decir, el uso de strict-dynamic todavía permite la inyección arbitraria de Javascript a través de un escape de...
hecha 28.09.2016 - 15:03
1
respuesta

¿CSP para reportar recursos HTTP?

Me gustaría comenzar a introducir un CSP en un sitio. Me gustaría comenzar agregando un informe solo de CSP e informando solo sobre contenido mixto, por ejemplo, cuando una imagen se carga desde HTTP en lugar de HTTPS. He cansado los tres sig...
hecha 14.09.2018 - 08:35
1
respuesta

Contenido-Política de seguridad-Entradas sospechosas en el registro

He configurado el encabezado Content-Security-Policy-Report-Only, y estoy en report-uri obteniendo un número relativamente alto (varios cientos por mes) de solicitudes fallidas en img-src para URL sospechosas: https://netanalytics.xyz/m...
hecha 24.05.2018 - 02:54
3
respuestas

La política de seguridad del contenido contra clickjacking falla con PoC estático

Tengo dudas sobre el uso de la Política de seguridad de contenido (CSP) como mecanismo de protección contra el clickjacking. He creado una Prueba de concepto (PoC) en línea en una página web donde coloco un botón que carga la URL que se espec...
hecha 12.12.2016 - 18:24
2
respuestas

Si un usuario autenticado intenta acceder a un recurso restringido

Si un usuario con autorización para acceder al Recurso A, intenta acceder al Recurso B (al intentar seguir una URL), ¿cuál de los siguientes es un mejor curso? Llévelos a una página de acceso denegado estándar, con un genérico, "No tiene suf...
hecha 12.01.2016 - 17:21
0
respuestas

"Fallo en el mecanismo de protección (CWE ID 693)

Después del análisis de seguridad, estamos viendo el problema Falla del mecanismo de protección (CWE ID 693) en nuestro aplicación. Nuestro encabezado actual se establece como se menciona a continuación- Server: Apache X-Frame-Options: SA...
hecha 19.06.2018 - 10:54
1
respuesta

¿Chrome respeta el encabezado X-DNS-Prefetch-Control?

Si mi página web devuelve X-DNS-Prefetch-Control=off , ¿Chrome realizará la búsqueda previa de DNS para enlaces como estos ?: <link rel="dns-prefetch" href="http://www.spreadfirefox.com/"> Sé que Firefox y Chromium respetan este...
hecha 20.02.2018 - 16:51
0
respuestas

Aplicación de firma fuera de banda para transacciones bancarias

Trabajo en un proyecto de firma bancaria. Las transacciones de firma deben realizarse en otra aplicación para respetar el mecanismo "Fuera de banda". Cuando el usuario realiza una transacción, debe pasar a una segunda aplicación (fuera de ban...
hecha 05.04.2016 - 15:57