CSP - Политика безопасности контента (content security policy) [JavaScript для начинающих] #43

Рет қаралды 2,967

2 жыл бұрын

Уроки JavaScript
Политика безопасности контента
#security #javascript #contentsecuritypolicy #csp #xss #websecurity #tutorial #free #site #web #howto #development #content #policy
#Политика_безопасности_контента
CORS видео - • [40] Security: CORS | ...
JS Community: education_developer_in_us

Пікірлер: 12

@ivanegorov6656 2 жыл бұрын

Спасибо за полезный контент. Понятно объясняете. На метке 9:10, там где вы говорите про unsafe-inline, я вначале подумал, что это относится только к стилям (style-src). Потом пересмотрел и понял, что и к скриптам тоже (script-src). Возможно это моя особенность, но когда я увидел скрин для стилей, то они как-то затмили скрипты. И еще на метке 12:00 (Остальные директивы) я тоже не увидел упоминания script-src. Вначале я подумал, интересно почему не рассказали про script-src, а потом пересмотрел и понял, что про неё тоже рассказывали, но не так акцентированно что-ли.

@from_brest2631 2 жыл бұрын

Норм контент, спс

@user-en6ny7qr1o Жыл бұрын

xss

@bag8208 2 жыл бұрын

Очень интересует безопасность в js, как искать, какие инструменты, и где чаще допускаются ошибки. Спасибо!

@DeveloperInUS 2 жыл бұрын

Я планирую записать видео о самых популярных проблемах безопасности

@DeveloperInUS 2 жыл бұрын

Видео о популярных угрозах безопасности - kzbin.info/www/bejne/moHXXoWai955bMU

@dmitrykurmanov 3 ай бұрын

Спасибо! Очень доходчиво!

@denispanarin Жыл бұрын

Есть ли смысл пытаться закрыть все уязвимости приложения самому или лучше подключить cloudflare/nemesida WAF?

@DeveloperInUS Жыл бұрын

Я не думаю, что можно закрыть все уязвимости самому. Особенно защиту от DDos атак, которые довольно неплохо блокируются cloudflare. К тому же вместо того, чтобы тратить время на залатывания дыр в безопасности, я бы лучше сфокусировался на бизнес идее и отдал security в руки cloudflare и другим сервисам.

@VolkGam 11 ай бұрын

Очень интересно! Скажите, а можно ли как то внедрить CSP на отдельную страницу, где может быть уязвимость (например туда, где пользователь что-то загружает), а не на весь проект (сайт/домен)? Или это не несёт смысла и домен нужно весь защищать. Получается что? На страницу с простой readonly-информацией, злоумышленник тоже может что-то загрузить на сервер? Каким образом?

@DeveloperInUS 11 ай бұрын

CSP можно включить добавим tag на страницу (помимо варианта с http headers). Соотв-но, можно написать логику по добавлению CSP только на нужные страницы. Обычно включают на весь веб-сайт, так как это проще с точки зрения поддержания безопасности на всех страницах.

@VolkGam 11 ай бұрын

@@DeveloperInUS Я попробовал добавить на весь сайт в net.core - у меня такое полезло - океан ошибок, и чем больше добавляю https сторонних доменов, тем больше их лезет... Какой то ужОс! Но мета теги вы же говорите опасные и бестолковые...