[B! csp] ama-chのブックマーク

Integrity protection for third-party JavaScript

Modern web applications depend on a lot of auxiliary scripts which are often hosted on third-party CDNs. Should an attacker be able to tamper with the f…

ama-ch 2015/06/16

リンク

そろそろCSP Lv.2 nonceやろう - teppeis blog

tl;dr CSP Lv.2のnonceを使うと意外と簡単にCSPの恩恵を受けれるよ Firefoxはunsafe-inlineとの挙動がおかしいので注意サンプル実装としてExpressで簡単にnonce対応できるconnectプラグインを書いた︵デモあり︶ Violation Reportもブラウザによって細かい挙動の差異があるよ CSP Lv.2 nonceの登場と背景 CSPの特にunsafe-inlineはXSSに対して最終防衛線的に強力な効果がある。しかし特にサーバーからの値の受け渡し部分などでどうしてもinline scriptを使いたくなるところがあり、unsafe-inlineを禁止するとDOM data等を使わざるを得ず、つらい感じだった。 @kazuho ですね。かといってDOM dataかー、、という感じではあるんですが、CSPでinline script禁止しち

ama-ch 2014/11/12

csp

リンク

BSidesLA Managing Content Security Policy

Talks about how to succeed at CSP. Tips on applying policies, managing reports, and managing a project. It also talks about CSP level 2 features such as nonce and hash (and how it will save the world)

ama-ch 2014/11/09

csp
slide

リンク

Introducing Content Security Policy - MDC Doc Center

HTTP ガイドリソースと URI ウェブ上のリソースの識別データ URL MIME タイプ入門よくある MIME タイプ www 付きと www なしの URL の選択 HTTP ガイド HTTP の基本 HTTP の概要 HTTP の進化 HTTP メッセージ典型的な HTTP セッション HTTP/1.x のコネクション管理プロトコルのアップグレードの仕組み HTTP セキュリティ Content Security Policy (CSP) HTTP Strict Transport Security (HSTS) X-Content-Type-Options X-Frame-Options X-XSS-Protection サイトの安全化 HTTP Observatory HTTP アクセス制御 (CORS) HTTP 認証 HTTP キャッシュ HTTP の圧縮 HTT

ama-ch 2014/11/09

security
csp

リンク

CSP Lv.2の話

#ssmjp 2014/10 XSSの運用の話間違いなどありましたら @yagihashoo まで。 ## 10/28 9:26追記 nonce-value、規格上はBase64だよ！という指摘をいただいたのでスライド18-19を修正しました。詳細は以下をご覧ください。 http://www.w3.org/TR/CSP2/#source-list-valid-nonces ## 10/29 15:00追記 Path matchingの例示について間違いがあったためスライド14を修正しました。Read less

ama-ch 2014/10/29

リンク

弊社のホームページにContent Security Policy(CSP)を導入しました

弊社のホームページにCSP(Content Security Policy)を導入しました。CSPについては、はせがわようすけ氏のスライド﹁5分でわかるCSP﹂がわかりやすいと思います。以下にスライドの一部を引用します。具体的には、以下のように指定して使います。 Content-Security-Policy: default-src 'self' この結果、以下のようにJavaScriptの記述が制限されます。外部のJavaScriptの読み込みは禁止 HTMLソースに記述した<script>...</script>のJavaScriptは禁止イベント属性(onload="xxxx"など)は禁止何も書けなくなるじゃないかと思われるかもしれませんが、JavaScriptは全て*.jsファイルに記述すればよい、ということです。 CSPは、JavaScriptのコードとデータを分離して

ama-ch 2013/12/08

security
csp

リンク

はてなブックマーク

タグ

関連タグで絞り込む (5)

cspに関するama-chのブックマーク (6)

お知らせ

今週のはてなブックマーク数ランキング（2024年7月第2週）

はてなブックマーク透明性レポート（2024年 2月-2024年4月）

今週のはてなブックマーク数ランキング（2024年7月第1週）

公式Twitter

キーボードショートカット一覧

はてなブックマーク

公式Twitter

はてなのサービス