security - जब मेरे पास दो CSP(सामग्री सुरक्षा नीतियां) नीतियाँ-शीर्ष लेख और मेटा हैं तो क्या हो रहा है?




web browser (2)

CSP दो बार सेवा देने के संबंध में प्रश्न:

यदि Content-Security-Policy HTTP प्रतिसाद शीर्ष लेख के माध्यम से एक नीति है और <meta /> तत्व के साथ निर्दिष्ट एक और नीति क्या है?

क्या उन दोनों को किसी तरह मिला दिया जाएगा? वरना किसकी प्राथमिकता है? (मैं कल्पना में इस पर स्पष्ट जानकारी नहीं मिल सकता है)।

विशिष्ट उपयोग का मामला HTTP प्रतिसाद शीर्ष लेख के माध्यम से Report-to सेवारत हो सकता है और <meta /> तत्व में अन्य सभी प्रतिबंध लगा सकता है - क्योंकि उनमें से कुछ वेबपैक द्वारा उत्पन्न होते हैं - और अगर मुझे <meta /> बारे में चिंतित नहीं होना चाहिए HTTP प्रतिसाद-शीर्ष लेख नीति द्वारा।


जैसा कि आपने खोजा, हाँ, यदि आप इसे सही करते हैं, तो उनका विलय हो जाता है। हालांकि, मैं यह जोड़ना चाहता हूं कि यदि संभव हो तो आप सीएसपी हेडर के साथ मेटा टैग का उपयोग करने से बचें।

क्यूं कर? यह "CSP हेडर" की कल्पना और भावना के विपरीत है, इसलिए कुछ कार्यक्षमता काम नहीं करेगी: "नोट: सामग्री-सुरक्षा-नीति-रिपोर्ट-केवल हेडर मेटा तत्व के अंदर समर्थित नहीं है। न ही रिपोर्ट-यूआरआई हैं। फ़्रेम-पूर्वजों, और सैंडबॉक्स निर्देश। "

कंपनियों को एक सुरक्षित तरीके से CSP को लागू करना बहुत मुश्किल हो रहा है, साथ ही साथ अपनी वेबसाइट को नहीं तोड़ना या बहुत अधिक कार्य की आवश्यकता नहीं है। इसलिए मैंने एनचांटेड सिक्योरिटी बनाई, एक वर्चुअल कंटेंट सिक्योरिटी पॉलिसी जो पेज पर किए गए नेटवर्क अनुरोधों का निरीक्षण करके उन्हें ट्रैक करने और दुर्भावनापूर्ण अनुरोधों को ब्लॉक करने के लिए काम करती है। CSP की तुलना में इसे सेट करना बहुत सरल है और इसमें ऐसी क्षमताएं हैं जो आपको CSP से नहीं मिल सकती हैं।


यदि आपके पास Content-Security-Policy HTTP शीर्ष लेख और meta तत्व दोनों में CSP निर्देश निर्दिष्ट Content-Security-Policy , तो ब्राउज़र जहाँ भी निर्दिष्ट होता है, वह सबसे अधिक प्रतिबंधित CSP निर्देशों का उपयोग करता है।

कई पोल पर विवरण देखें https://w3c.github.io/webappsec-csp/#multiple-policies और meta तत्व के उपयोग के विवरण https://w3c.github.io/webappsec-csp/#meta-element पर https://w3c.github.io/webappsec-csp/#meta-element :

नोट: meta तत्व के माध्यम से निर्दिष्ट नीति को संरक्षित संसाधन के लिए सक्रिय किसी भी अन्य नीतियों के साथ लागू किया जाएगा, भले ही वे निर्दिष्ट हों। कई नीतियों को लागू करने का सामान्य प्रभाव The8.1 में वर्णित है। कई नीतियों का प्रभाव

8.1। कई नीतियों का प्रभाव

इसका प्रभाव यह है कि लागू करने के लिए नीतियों की सूची में अतिरिक्त नीतियों को जोड़ना केवल संरक्षित संसाधन की क्षमताओं को प्रतिबंधित कर सकता है







content-security-policy