Описание тега content-security-policy
0
ответов
Какой метод лучше всего подходит для CSP nonce в Nginx?
Я хочу создать одноразовый серверный CSP для моего сайта мой веб-сервер Nginx Я написал два метода для тех, А) использование директивы в Nginx с set-misc-nginx-module set_secure_random_alphanum $cspNonce 32; add_header Content-Security-Policy "base-…
25 дек '18 в 17:02
0
ответов
Проблема Content-Security-Policy на сервере Apache
Почему добавление следующего в файл.htaccess моего безопасного веб-сайта вызывает ошибку 500 (неверная конфигурация)? Набор заголовков Content-Security-Policy: default-src https:; форма-действие https:; connect-src https: wss:; обновить-небезопасные…
24 авг '18 в 16:50
1
ответ
Как разрешить использование fontawesome как style-src в моей Content-Security-Policy?
Я пытаюсь установить заголовок Content-Security-Policy в.htaccess. Я уже попробовал вариант ответа на этот пост, но он не работает. Все мои потрясающие иконки разбиты. Header always set Content-Security-Policy: "default-src 'self'; style-src *.fonta…
22 май '19 в 16:15
1
ответ
Можно ли настроить отчеты CSP для исключения известных ресурсов из черного списка?
Когда я использую Content-Security-Policy, зная, что она будет (и должна) блокировать некоторые элементы, есть ли способ получать отчеты по всем нарушениям, кроме этих? Я получаю, например, попадания из скрипта, вставленного из какого-то касперского…
22 сен '16 в 16:23
0
ответов
Резервное копирование и развертывание объекта групповой политики с одного сервера на другой
Привет! Я использую LGPO для резервного копирования политики и развертывания ее на другом компьютере с тем же именем администратора. Поэтому я попытался использовать путь LGPO /b. Успешное резервное копирование. Затем я пошел на другой компьютер и с…
31 авг '18 в 06:50
0
ответов
Установите заголовок, если другой заголовок отсутствует, в Apache Vhost
Я знаю, что могу добавить заголовок, если он отсутствует, используя setifempty, как:Header always setifempty Content-Security-Policy-Report-Only "foobar" Но как мне установить заголовок, только если отсутствует другой заголовок, как я хочу установит…
19 фев '19 в 13:07
1
ответ
Заголовок ответа CSP приводит к тому, что firefox прерывает загрузку сайта
Только в Firefox (недавнем и старом) на мой веб-сайт отвечает код состояния 200, но Firefox просто прерывается без каких-либо сообщений об ошибках. Журналы сервера также не показывают проблемы. Проходя через настройки, я прикрепил его к заголовку CS…
01 окт '16 в 21:25
0
ответов
Apache: обойти глобальную конфигурацию CSP с помощью.htaccess
Недавно я внедрил несколько строгих политик безопасности контента на моем сервере Apache (v.2.4.25). Работает как шарм. Вот что я имею в apache.conf <IfModule mod_headers.c> Header set Content-Security-Policy "default-src 'none';img-src 'self'…
25 апр '19 в 15:08
0
ответов
Отказался от фрейма '', поскольку он нарушает следующую директиву политики безопасности содержимого: "frame-src *"
Я нашел много решений для различных ситуаций с "отказом от xyz" из-за настроек Content-Security-Policy. Однако я не могу найти, что может быть не так, если '' получает отказ. Буквальное сообщение об ошибке в браузере Refused to frame '' because it v…
18 дек '18 в 14:55
2
ответа
Как определить CSP для Wordpress
Я пытаюсь реализовать заголовки Content-Security-Policy для Wordpress, но у меня возникают проблемы с определением всех URL-адресов, к которым требуется доступ. В частности, я попытался добавить заголовок: Header always set Content-Security-Policy "…
14 ноя '16 в 03:00
1
ответ
Политика безопасности контента для Exchange 2016
Я хотел бы добавить заголовки Content-Security-Policy для Exchange 2016 для / owa и /ecp. Хорошо зная, что "слишком ограничительный" заголовок Content-Security-Policy может нарушить как / owa, так и /ecp, существует ли известный рабочий наименее раз…
23 сен '18 в 16:25
0
ответов
Apache2 Loadbalancer с липкой сессией, только липкая для GET, а не POST
Я установил Apache 2.4.6 на Centos с mod_proxy а также mod_headers как описано в https://wiki.apache.org/httpd/LoadBalanceWithoutStickyCookie Моя цель состоит в том, чтобы иметь липкие сессии, даже если внутренний сервер сам не генерирует куки сесси…
15 янв '19 в 14:02
2
ответа
Запрет подключения компьютеров, не подключенных к домену, к моей сети
Как запретить любому компьютеру, не подключенному к домену, запрашивать какие-либо услуги из моей сети? Учитывая, что компьютер находится в другой сети.
17 июл '18 в 08:32
3
ответа
Как ввести случайный одноразовый номер CSP в APACHE?
Я хочу добавить следующую директиву CSP в APACHE, потому что я хочу, чтобы она применялась на каждой странице. <IfModule mod_headers.c> <FilesMatch "\.(htm|html|php)$"> Content-Security-Policy: script-src 'strict-dynamic' 'nonce-{random}…
16 июн '17 в 11:14
0
ответов
Политика безопасности контента: собственные домены и субдомены (nginx)
Мы размещаем несколько сайтов, и на данный момент наши Content-Security-Policy В заголовке есть несколько директив такого типа: add_header Content-Security-Policy "default-src 'self' *.googleapis.com platform.twitter.com...etc... *.MYDOMAIN.COM cdn.…
12 фев '19 в 01:57