Найти в Дзене
Rahol Jey
4 подписчика

Заголовки безопасности HTTP

3
2 мин
В этой статье мы поговорим о таком заголовке безопасности, как Content Security Policy (CSP) Content Security Policy (CSP) - это дополнительный уровень безопасности, который помогает обнаруживать и смягчать определенные типы атак. включая Cross-Site Scripting и атаки с внедрением данных. Чтобы включить CSP, необходимо настроить веб-сервер так, чтобы он возвращал HTTP-заголовок Content-Security-Policy. Использование CSP Настройка политики безопасности содержимого включает в себя добавление HTTP-заголовка Content-Security-Policy на веб-страницу и присвоение ему значений, определяющих, какие ресурсы агенту пользователя разрешено загружать для этой страницы. Например, страница, которая загружает и отображает изображения, может разрешать изображения из любого места, но ограничивать действие формы определенной конечной точкой. Правильно разработанная политика безопасности содержимого помогает защитить страницу от атаки межсайтовых сценариев. Вот пример указания политики: Теперь давайте
Оглавление

В этой статье мы поговорим о таком заголовке безопасности, как Content Security Policy (CSP)

Content Security Policy (CSP) - это дополнительный уровень безопасности, который помогает обнаруживать и смягчать определенные типы атак. включая Cross-Site Scripting и атаки с внедрением данных.

Чтобы включить CSP, необходимо настроить веб-сервер так, чтобы он возвращал HTTP-заголовок Content-Security-Policy.

Использование CSP

Настройка политики безопасности содержимого включает в себя добавление HTTP-заголовка Content-Security-Policy на веб-страницу и присвоение ему значений, определяющих, какие ресурсы агенту пользователя разрешено загружать для этой страницы. Например, страница, которая загружает и отображает изображения, может разрешать изображения из любого места, но ограничивать действие формы определенной конечной точкой. Правильно разработанная политика безопасности содержимого помогает защитить страницу от атаки межсайтовых сценариев.

Вот пример указания политики:

-2

Теперь давайте разберём пару практических примеров:

Пример 1:

Администратор веб-сайта хочет, чтобы все содержимое поступали из собственного источника сайта (за исключением поддоменов)

-3

Пример 2:

Администратор веб-сайта хочет разрешить доступ к содержимому из доверенного домена и всех его поддоменов (это не обязательно должен быть тот же домен, на котором настроен CSP)

-4

Тестирование политики

Чтобы упростить развертывание, CSP можно развернуть в режиме только отчета. Политика не применяется, но обо всех нарушениях сообщается по указанному универсальному коду ресурса (URI).

Для указания политики можно использовать HTTP-заголовок Content-Security-Policy-Report-Only, например:

-5

Включение отчетности

По умолчанию отчеты о нарушениях не отправляются. Чтобы включить отчеты о нарушениях, необходимо указать директиву политики report-to, указав по крайней мере один универсальный код ресурса (URI), по которому будут доставляться отчеты:

-6

Синтаксис отчета о нарушениях

blocked-uri

Универсальный код ресурса (URI) ресурса, загрузка которого была заблокирована политикой безопасности содержимого. Если заблокированный URI получен из другого источника, чем , то заблокированный URI усекается, чтобы содержать только схему, хост и порт

document-uri

Универсальный код ресурса (URI) документа, в котором произошло нарушение.

original-policy

Исходная политика, указанная в HTTP-заголовке.

referrer

Реферер документа, в котором произошло нарушение.

А чтобы больше про это узнать, советую прочесть следующие книги:

Компьютерные сети. 6-е изд. | Уэзеролл Дэвид, Таненбаум Эндрю

Компьютерные сети. Принципы, технологии, протоколы: Юбилейное издание | Олифер Виктор Григорьевич, Олифер Наталья Викторовна

В нашем телеграм-канале вы найдëте ещë больше полезных статей

#Статья #Сети #HTTP #Заголовки_безопасности