Refusé de charger l'image, car elle viole content-security-policy — Cordova
Je suis en train de déployer mon application suivants du code de pousser doc. Ensuite, j'ai ajouté le contenu suivant-la sécurité de mon application index.html
<meta http-equiv="Content-Security-Policy" content="default-src https://codepush.azurewebsites.net 'self' data: gap: https://ssl.gstatic.com 'unsafe-eval'; style-src 'self' 'unsafe-inline'; media-src *">
J'ai immédiatement ajouté, mon application ne fonctionne pas à nouveau. Quand je lance mon cordova navigateur. J'ai vu beaucoup d'erreurs dans la console. Il s'avère mes styles les fichiers référencés à partir de github, mes images référencées à partir d'mysite.com/... et mes autres scripts externes, goopleapis sont ma politique en matière de sécurité ci-dessous
<meta http-equiv="Content-Security-Policy" content="default-src * 'self' data: gap: https://ssl.gstatic.com 'unsafe-eval'; style-src 'self' 'unsafe-inline'; media-src *">
Il fonctionne maintenant très bien. Ma question est, qu'est-Ce que la sécurité ramification ? Dois-je laisser comme ça? Comment dois-je faire cela ? De l'aide ou des avis, serait apprécié. Je suis inquiet de quitter * peut permettre les attaques destinées à l'arrêté.
OriginalL'auteur Nuru Salihu | 2016-06-21
Vous devez vous connecter pour publier un commentaire.
Vous avez raison, en laissant votre CSP, comme cela pourrait rendre les choses plus facile pour un attaquant. L'idée principale à l'aide d'un CSP est l'url de la liste blanche comme il est décrit ici.
Par liste blanche tout
*
générique vous permettre à un attaquant de charger le code (et exécuter) de partout une fois qu'il est en mesure d'injecter du code dans votre application. Découvrez l'article lié sur ce point, c'est beaucoup mieux que ce que j'écris ici 😉Alors, quelle est la bonne façon de le faire?
style-src 'self' https://github.com 'unsafe-inline';
Remarque: soyez prudent avec les
default-src
politique telle qu'elle prévaut sur les autres politiques. Et quand il s'agit de la liste blanche des images, vous devez ajouter ledata:
mot-clé comme:img-src 'self' http://somedomain.com data:;
La documentation de Mozilla est assez bonne si vous êtes à la recherche pour un aperçu de toutes les politiques et les mots clés...
OriginalL'auteur Phonolog
résolu avec:
<meta http-equiv="Content-Security-Policy" content="script-src 'self' http://localhost:5000 'unsafe-inline' 'unsafe-eval';">
désolé pour la question sans doute stupide, mais quand vous wrinte http:/xxxx devrait-il être l'URL de mon site web?
OriginalL'auteur Behnam Mohammadi