content-security-policy
Вопросы и ответы
Вопрос или проблема Я столкнулся с проблемой, связанной с так называемой CSP, когда пытаюсь выполнить файл Javascript в своем проекте. Сообщение об ошибке в консоли: bootstrapAutofill.ts…oader-R_TAdozE.js:8 Отказано в загрузке скрипта ‘
Вопросы и ответы
Вопрос или проблема Мы добавили Content-Security-Policy-Report-Only на наш сайт и сейчас изучаем отчеты, которые были отправлены нам. Мы получили этот интересный отчет о пикселе отслеживания Facebook. { "csp-report": { "document-uri": "https://app.
Вебмастерам
Вопрос или проблема Я управляю веб-сайтом с встроенным JavaScript. Я создал политику безопасности, чтобы JavaScript мог работать встроенным образом. Затем PageSpeed Insights показывает эту проблему: Когда я читаю о CSP nonce и хэшах, это означает генерацию
Информационная безопасность
Вопрос или проблема Какие риски связаны с разрешением директивы “blob:” для script-src CSP? Это безопасно? У меня есть список разрешенных доменов, определенных в script-src, но тем не менее я получил ошибку, указывающую на нарушение директивы
Информационная безопасность
Вопрос или проблема В настоящее время я внедряю функцию, которая позволяет пользователям загружать документы (в основном pdf) и просматривать их в браузере без хранения на сервере. Приложение генерирует blob URL из загруженного документа, который затем
Информационная безопасность
Вопрос или проблема Сегодня я обсуждал с PenTesters в своей компании, которые сказали, что заголовки безопасности, такие как, например, Content-Security-Policy, Strict-Transport-Security, Referrer-Policy и Permissions-Policy, всегда должны отправляться
Информационная безопасность
Вопрос или проблема Мы хотим предотвратить атаки, приходящие из атрибута src “javascript:”, но по-прежнему разрешить инлайн теги скриптов. В настоящее время единственным вариантом является добавление SHA-хэшей, но инлайн скриптов слишком много, чтобы это сделать.
Системное администрирование и сети
Вопрос или проблема В моей школе используется G-Suite для образования с индивидуальным доменным именем, и все наши пользователи входя в Chrome, используя аккаунты типа “[email protected]“. Один из членов моей администрации пытается использовать сайт app.
Информационная безопасность
Вопрос или проблема У нас есть Java-приложение, которое позволяет пользователям загружать вложения и сохранять их на сервере. У приложения определена политика безопасности контента (CSP), которая выглядит следующим образом: base-uri 'self';
Информационная безопасность
Вопрос или проблема Если я использую целостность подресурсов (SRI) на веб-странице, и скрипт, который я импортирую, затем импортирует еще один скрипт, будет ли CSP ‘require-sri-for’ также включать эти последующие, вложенные, импортированные скрипты?
Информационная безопасность
Вопрос или проблема Мне нужно настроить заголовок CSP, содержащий одновременно report-uri и report-to, так как многие клиенты сайта используют старые версии Firefox и Chrome. Как настроить оба этих атрибута в CSP? UPD. Также я заметил, что report-to требует
Информационная безопасность
Вопрос или проблема Отчет о нарушении CSP содержит [blockedURL], который находится в [originalPolicy]. Мне продолжает приходить отчет о политике безопасности контента, в котором говорится, что https://googleads.g.doubleclick.net:443/pagead/viewthroughconversion/[засекречено]/?