CSP(Contents Security Policy)の記述例
Security Software CSP(Contents Security Policy)の記述例※当サイトにはプロモーションが含まれています。 記述例デフォルト設定の記述をする(HTTPレスポンスヘッダの出力)。 同一オリジンも含めて全てのソース1からの読み込みを禁止する場合 Content-Security-Policy: default-src 'none';同一オリジンを除く全てのソースからの読み込みを禁止する場合 default-src を使うと、child-src, connect-src, font-src, img-src, media-src, object-src, script-src, style-srcに対してまとめてポリシーを指定できる。詳しくは → http://www.w3.org/TR/CSP2/#directive-default-src を参照する
IPA ISEC セキュア・プログラミング講座:Webアプリケーション編 第8章 マッシュアップ:クライアントサイドマッシュアップ: #4 対策に利用できる技術
第8章 マッシュアップ クライアントサイドマッシュアップ: #5 対策に利用できる技術 Webクライアントにおけるセキュリティ対策対象レイヤ クライアントサイドマッシュアップにおけるセキュリティ確保については、アプリケーションコードレベル、ライブラリレベル、ブラウザ(JavaScriptエンジン)レベルの各階層に分けて説明する。 特に、ブラウザレベルの対策が充実すると、開発者の負担は軽くなることが期待される。 サーバからブラウザ宛のレスポンスヘッダ内に、セキュリティ対策のふるまいを指定する仕様が複数、存在している。 (1) セキュリティ対策機能をオンにするためのヘッダ サーバからロードされるコンテンツに添えられるレスポンスヘッダに、何らかのセキュリティポリシーの執行をブラウザへ要請する用途のものが増えてきた。例えば、次のレスポンスヘッダである。 X-XSS-ProtectionXSSフィル
IISでクロスサイトスクリプティング セキュリティ対策 HSTS、CSP、XCTO、XSS Filter
クロスサイトスクリプティング (XSS) とは クロスサイトスクリプティングとは、Webアプリケーションの脆弱性もしくはそれを利用した攻撃のことです。 クロスサイトスクリプティング(XSS)とは、掲示板サイトやTwitterのような、ユーザからの入力内容をWebページに表示するWebアプリケーションにおいて、ウェブサイト(標的サイト)の脆弱性(XSS脆弱性)を利用した攻撃手法を指します。 攻撃者は、入力内容に、スクリプト付のリンクを貼る等の罠を仕掛けます。 ・https://www.shadan-kun.com/blog/measure/1052/ クロスサイトスクリプティングを防ぐには、WEBサーバー側でセキュリティヘッダーを付けて対策を行います。 サーバからクライアントのブラウザへ送信されるHTTP レスポンスヘッダには、ブラウザ側のセキュリティ対策のふるまいを指定するヘッダが存在しま
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
<btn open />
