Как защитить свой сайт от XSS-атак?

Через политику безопасности контента.

2 симпатии

Политика безопасности контента (CSP) - это спецификация W3C, которая помогает избежать XSS атак. CSP позволяет разработчикам определять правила для получения ресурсов (изображений, javascript, шрифтов и т. Д.) В клиентском браузере.

CSP можно реализовать двумя способами:

  1. Укажите в заголовках HTTP
   Content-Security-Policy: __Policy__
  1. Укажите в тегах META
   <meta http-equiv="Content-Security-Policy" content=" __Policy__ ">

Определение политики

__Policy__ - это совокупность директив, которые определяют допустимое местоположение каждого ресурса, никакие директивы не разрешены для всех. Вот некоторые из полезных директив:

  • default-src : определяет политику загрузки для всех типов ресурсов.
  • script-src : определяет политику загрузки для всего javascript, откуда может быть загружен javascript.
  • img-src : определяет политику загрузки для всех изображений, откуда изображения могут быть загружены.

Список директив для других ресурсов здесь .

Один пример:

   Content-Security-Policy: default-src 'self';

Это позволит использовать ресурсы только из того же домена, а все остальные ресурсы не загрузятся.

Перед определением CSP вы должны быть полностью осведомлены обо всех ресурсах и соответствующем происхождении, необходимых для вашего веб-приложения, иначе могут быть заблокированы некоторые жизненно важные ресурсы и в конечном итоге возникнут случайные ошибки.

3 симпатии