Preguntas con etiqueta 'content-security-policy'

1
respuesta

encabezado CSP default-src: datos:

Estoy probando la implementación del encabezado CSP. El valor del encabezado implementado es: Content-Security-Policy: default-src 'self' data:; style-src 'self' 'unsafe-inline'; script-src 'self' 'unsafe-inline' 'unsafe-eval' X-Content-Securi...
hecha 07.05.2018 - 20:06
2
respuestas

¿Qué vulnerabilidad exponen los controladores de eventos y javascript en línea? [duplicar]

Estoy tratando de entender por qué ciertos CSP bloquean el javascript en línea. ¿La preocupación es que un usuario podrá insertar un javascript que luego será servido a otros usuarios? Si es así, ¿no es esto un problema con el hecho de que un...
hecha 08.10.2017 - 07:45
1
respuesta

Seguridad en una red wifi PEAP en el teléfono

Utilizo la red de mi oficina para Snapchat, Facebook, etc. La red de mi oficina utiliza PEAP como método EAP. Y utiliza certificados del sistema mientras se conecta Requiere que me conecte al dominio que es mi nombre de la empresa.com y luego...
hecha 17.10.2016 - 10:15
1
respuesta

¿Es posible usar CSP para un reproductor de video basado en Javascript?

Algunos de mis compañeros de trabajo están desarrollando un reproductor de video usando Javascript. AFAIK, no vamos a tener ningún sitio web. Los clientes se conectarán al servidor, descargarán el código javascript y luego reproducirán el reprod...
hecha 19.02.2016 - 12:55
2
respuestas

Evitar que una página web sea golpeada desde otro servidor

Un ataque DDoS puede resultar de un sitio web que intenta acceder al recurso de otro sitio web. Por ejemplo, example.com (atacante) está intentando acceder a los recursos en example.net (víctima). La información que he reunido h...
hecha 31.01.2016 - 21:23
1
respuesta

¿Debe ser una preocupación la búsqueda en la Web con los resultados de Evernote?

Mientras usa un navegador basado en Chromium (Chromodo) y realiza una búsqueda regular en Google, Evernote ahora aparece en el lado con "resultados relacionados en sus notas". ¿Alguien sabe cómo lo están haciendo? * No puedo ver ningún com...
hecha 10.07.2015 - 19:14
0
respuestas

Encabezado HTTP de "Política de seguridad del contenido" con "default-src 'self'; script-src 'self' ”no bloquea la descarga del dominio no especificado

Intento permitir solo 'self' y ' enlace ' mediante: "add_header Content-Security-Policy "default-src 'self'; script-src 'self' https://cdn.jsdelivr.net"; Encontré un problema donde puedo cargar enlace con el siguiente encabezado:...
hecha 20.12.2018 - 14:21
0
respuestas

Evita que iframe herede los encabezados CSP

Tengo una aplicación angular 6 donde los encabezados de la Política de seguridad de contenido se aplican a través de una etiqueta meta. En una de las páginas hay un iframe para el cual no se deben aplicar esos encabezados. Por alguna razón...
hecha 05.11.2018 - 14:44
0
respuestas

WebWorker Hash-Source CSP importScripts

He estado intentando mover mi sitio a un CSP de origen hash en lugar de un CSP de origen del host para verificar la integridad de los archivos distribuidos por un CDN. Tengo un WebWorker ejecutándose en segundo plano, que importa algunos scri...
hecha 18.05.2018 - 21:46
0
respuestas

Aplicación de una sola página y token CSRF generado cada vez

Necesito usar una aplicación de una sola página (React, Ember, Angular, no me importa) con el mecanismo de protección Rails CSRF. Me pregunto si debo crear un token cada vez en el ApplicationController de esta manera: class Applicati...
hecha 07.05.2018 - 00:41