Mitigate cross-site scripting (XSS) with a strict Content Security Policy (CSP) | Articles | web.dev
Mitigate cross-site scripting (XSS) with a strict Content Security Policy (CSP) Stay organized with collections Save and categorize content based on your preferences. Cross-site scripting (XSS), the ability to inject malicious scripts into a web app, has been one of the biggest web security vulnerabilities for over a decade. Content Security Policy (CSP) is an added layer of security that helps to
GitHub - google/csp-evaluator
Please note: this is not an official Google product. CSP Evaluator allows developers and security experts to check if a Content Security Policy (CSP) serves as a strong mitigation against cross-site scripting attacks. It assists with the process of reviewing CSP policies, and helps identify subtle CSP bypasses which undermine the value of a policy. CSP Evaluator checks are based on a large-scale s
Webセキュリティと W3CとIETFの仕様
2. 自己紹介 - ゆき ( @flano_yuki ) - 趣味でW3CとIETFの仕様を読んでブログに書いてる - IETFはオフラインミーティングに数回参加 - たまに脆弱性報告したり (CVE番号発行:1件) - 本業はインフラエンジニア @flano_yuki 3. 今日お話すること - 個人的に気になってる、W3CやIETFで議論されてる仕様を紹介します - 仕様は策定中のものです、大いに変わる可能性があります - 標準化に至らないものや、実装されないものもあるでしょう (紹介しきれないものも沢山あります) 標準化というと敷居が高そうですが、少しでも楽しそうと思って頂ければ幸いです。 興味ある人、詳しい人いましたら、是非お声がけください><; 4. Overview W3C - W3C - Web Apprication Security WG (WebAppSec) - CS
Feature Policy による Permission Delegation | blog.jxck.io
Intro ブラウザの機能を制限する Feature Policy の実装が進みつつある。 Feature Policy は、ブラウザが持つ機能について選択的に許可/制限を行う API だ。 AMP のように特定の機能を制限する目的にも使えるが、クロスオリジン iframe に対する権限移譲のための API としても使用される。 Feature Policy のモチベーションおよび適用方法について、類似する CSP や iframe sandbox と合わせて解説する。 なお、今回解説する内容は、まだブラウザの実装に反映されていない部分があるため、注意されたい。 Motivation まず Feature Policy のモチベーションとして、 機能の制限 と 権限の移譲 という二つのニーズを解説する。 機能の制限 パフォーマンスやセキュリティの観点から、実装はあるが、使用する上で制限を設
The JavaScript Supply Chain Paradox: SRI, CSP and Trust in Third Party Libraries
The JavaScript Supply Chain Paradox: SRI, CSP and Trust in Third Party Libraries A couple of years back as the US presidential campaign was ramping up, the Trump camp did something stupid. I know, we're all shocked but bear with me because it's an important part of the narrative of this post. One of their developers embedded this code in the campaign's donation website: <script src="https://github
XSSを防ぐ新しいXSS-Protectionヘッダ - ASnoKaze blog
evalとreportOnlyについて追記しました (2016/10/10) 2016/10/20 仕様名は以下の通りになりました。Anti-XSS Response-Time Uniqueness Requirement また、ヘッダ名は、XSS-Protectionヘッダではなく、ARTURヘッダとなっておりますが、また変更される可能性があります。 Googleの調査によると、CSPによるXSSの防止は現実的にデプロイの欠陥によりXSSの防止効果がないことを示しています。調査は「CSP Is Dead, Long Live CSP!」としてACMのカンファレンスで発表され、ペーパーも閲覧することができます。 9月に行われたW3C TPAC 2016のWebAppSecのミーティングで議論され、GoogleのMike West氏より新しくXSS Protectionという仕様が提案されて
同一オリジンに境界を設ける Suborigins とは - ASnoKaze blog
Webセキュリティを考える上で大事な仕組みの一つに、Same-Origin Policyという仕組みがあります。 Originは「スキーム・ホスト・ポート」の組み合わせです。これらが一緒であれば、同一Originでありリソースへアクセスすることができます。 歴史的経緯や様々な理由により複数のアプリケーションが同一Originで提供されている場合があります。 たとえば、"チャット"や"ショッピング"の機能が以下の様なURLで提供されているような場合です。 https://example.com/chat/ https://example.com/shopping/ 実際、Googleの検索サービスと地図サービスは同一Originで提供されています。昔からあるリンクや、パフォーマンス、ブランディングのためのようです。 https://www.google.com https://www.goo
OWASP San Diego 8 August 2015 Presentation (Public)
Where Content Security Policy Is and Where It's Heading Next Open Web Platform Security Joel Weinberger jww@{chromium.org,google.com} @metromoxie Originally, I was going to present what’s up and coming in Content Security Policy, but really, what we’ve been working on goes well past just CSP. So ...
OWASP San Diego 8 August 2015 Presentation (Public)
Where Content Security Policy Is and Where It's Heading Next Open Web Platform Security Joel Weinberger jww@{chromium.org,google.com} @metromoxie Originally, I was going to present what’s up and coming in Content Security Policy, but really, what we’ve been working on goes well past just CSP. So ...
Integrity protection for third-party JavaScript
Modern web applications depend on a lot of auxiliary scripts which are often hosted on third-party CDNs. Should an attacker be able to tamper with the files hosted on such a CDN, millions of sites could be compromised. Web developers need a way to guarantee the integrity of scripts hosted elsewhere. This is the motivation behind a new addition to the web platform being introduced by the W3C: sub-r
[PDF] A CDN that can not XSS you Using Subresource Integrity
A CDN that can not XSS you Using Subresource Integrity about:frederik Frederik Braun Security Engineer at Mozilla fbraun@mozilla.com https://frederik-braun.com @freddyb Why am I here? https://www.mozilla.org/en-US/about/manifesto/ Content Delivery Networks <script src="https://code.jquery.com/jquery-2.1.4.min.js"></script> <link href='http://fonts.googleapis.com/css?family=PT+Sans…' rel='styleshe
How HTML Injection Is Bad on Firefox OS
1101158.md How HTML Injection Is Bad on Firefox OS 「Firefox OS Advent Calendar 2014」と「脆弱性"&'<<>\ Advent Calendar 2014」の12月20日の記事です。 先月報告したFirefox OSのHTMLインジェクションバグ(Bug 1101158 )について紹介します。このバグはFirefox OS Simulatorを含む一部の環境ではまだ修正されていませんが、リスク評価の上、Mozillaよりちょうど本日(!!)、公開の許可を頂き掲載しております。 HTML Injection on Firefox OS (Bug 1101158) Firefox OS v2.1/v2.2には、端末のホームボタンを長押ししたときに表示されるカードビューに、HTMLインジェクションの可能な箇所がありま
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Introducing Script Watch: Detect Magecart style attacks, fast!
WebAppSec @ TPAC 2017
Intent to implement and ship: CSP exemptions for content injected by privileged callers
GitHub - w3c/trusted-types: A browser API to prevent DOM-Based Cross Site Scripting in modern web applications.
https://wicg.github.io/reporting/
CSP Is Dead, Long Live CSP! On the Insecurity of Whitelists and the Future of Content Security Policy
GitHub - diracdeltas/sniffly: Sniffing browser history using HSTS
GitHub - cure53/HTTPLeaks: HTTPLeaks - All possible ways, a website can leak HTTP requests
