سیاست امنیتی محتوا – چگونه می توانم embedders embedders از iframe من را کنترل کنم؟

از هدرها ( X-Frame-Options با اجازه دهید از ... و Content-Security-Policy با فریم اجداد ) برای کنترل اینکه دامنههای شخص ثالث میتوانند iframe خود را جاسازی کنند.

اما دامنه دیگری می تواند آن دامنه را جاسازی کند، بنابراین حذف حفاظت clickjacking از این کنترل امنیتی حذف می شود.

چگونه می توانم کنترل کنم که چه کسی می تواند embedders را جاسازی کند؟

سیاست امنیتی محتوا – آیا ما باید CSP را به تمام صفحات وب در یک برنامه وب اضافه کنیم؟

من درک می کنم که ایده آل CSP باید فقط برای پاسخ متنی / HTML تعیین شود.

این امر برای هر گونه پاسخ دیگر نیز به آن صدمه نمی زند، به خصوص اگر آن را می توان در متن HTML ارائه داد.

آیا کافی است که حاوی هدر سیاست امنیت محتوا (CSP) را به صفحه ورود وارد کنید یا باید من هدر را به هر صفحه و هر صفحه اضافه می کنم؟

CSP فقط به صفحه ای که در آن تنظیم شده است اعمال می شود. بنابراین اگر یک CSP برای صفحه ورود به سیستم ارسال شود، به هیچ صفحهای دیگر اعمال نخواهد شد.

MDN – سیاست امنیت محتوا (CSP) – استفاده از CSP می گوید که CSP تنها می شود برای صفحه ای که در آن تنظیم شده است استفاده می شود:

پیکربندی خط مشی امنیت محتوا شامل افزودن هدر HTTP Content-Security-Policy به یک صفحه وب و ارزش گذاری آن برای کنترل منابع مجاز کاربر برای بارگیری برای است که [صفحه.

فای – نحوه محافظت از محیط کنترل برنامه وب من چیست؟

من یک برنامه وب را توسعه می دهم و می خواهم تنظیم و کنترل آن را با استفاده از نوت بوک شخصی من انجام دهم.

با این حال، موضوعات زیر مربوط به من هستند:

1) پلت فرم را وارد کنید (شامل ورود به سیستم در پانل کنترل برنامه من) که سایت من را میزبانی می کند.
* این پلت فرم امکان تأیید صحت 2 مرحلهای ندارد.

2) سرویس پست الکترونیکی موزیلا thunderbird.
* پست الکترونیکی با امنیت SSL تنظیم شده است.

با توجه به اینکه از مودم Wi-Fi استفاده می کنم، به چه ریسک هایی مربوط می شود؟
چگونه این محیط را به عنوان امن ترین ممکن است؟

سیاست امنیتی محتوا – CSP header default-src: data:

این اجازه می دهد که داده های URI مانند:

 data: text / html؛ charset = utf-8؛ base64، PGgzPkhpPC9oMz4 =

به عنوان منابع مورد استفاده قرار می گیرد.

URI های داده ها می توانند حاوی هر محتوایی باشند، آنها به طور گسترده ای مورد استفاده قرار می گیرند، زیرا می توانند مقدار URL هایی را که هنگام بارگذاری سایت درخواست می شوند، کاهش دهد.

آسیب تزریق و می تواند از آن اجتناب کند، زیرا هر کسی که می تواند به صفحه تزریق کند، هر URI داده ای را که حاوی هر گونه محتوایی است که می خواهند استفاده می کند.

لازم نیست برای Chrome و Firefox استفاده شود، اما همانطور که CanIUse نشان می دهد، مرورگرهایی هستند که هنوز به سرصفحه های خاص نیاز دارند.