Ciao,
sto implementanto il CSP nel mio sito utilizzando response.addheader di asp, volevo sapere se devo anche inserirlo nelle pagine dove c'e' solo codice o basta nelle pagine del front-end?
saluti e grazie
Ciao,
sto implementanto il CSP nel mio sito utilizzando response.addheader di asp, volevo sapere se devo anche inserirlo nelle pagine dove c'e' solo codice o basta nelle pagine del front-end?
saluti e grazie
Da un grande potere derivano grandi responsabilità
Dopo alcune ricerche ho capito come usare questi header, da inserire in tutte le pagine del sito.
Bisogna inserire all'inizio della pagina
e poi nei tag script e style se presenticodice:nonce = RandomString(56) <-- genera una stringa casuale di 56 caratteri nonce02 = RandomString(56) response.addheader "Content-Security-Policy", "frame-ancestors 'self' ;"& _ "block-all-mixed-content;"& _ "default-src 'self';"& _ "script-src 'self' 'nonce-"& nonce &"' 'report-sample' ;"& _ "style-src 'self' 'nonce-"& nonce02 &"' 'report-sample' ;"& _ "object-src 'none';"& _ "frame-src 'self';"& _ "child-src 'self';"& _ "img-src 'self';"& _ "font-src 'self';"& _ "connect-src 'self';"& _ "manifest-src 'self';"& _ "base-uri 'self';"& _ "form-action 'self';"& _ "media-src 'self';"& _ "prefetch-src 'self';"& _ "worker-src 'self';"& _ "upgrade-insecure-requests;"
<script nonce="<%=nonce%>"></script>
<style nonce="<%=nonce02%>"></style>
il nonce e' un numero usa e getta, se non si aggiunge questo attributo gli script e gli stili saranno bloccati dal browser
inoltre vi lascio questo link che mi ha aiutato a capire ed aumentare la sicurezza del sito su cui lavoro https://securityheaders.com/
Da un grande potere derivano grandi responsabilità
grazie per la condivisione
Permessi di invio
Rispondi quotando