Content security policy

HackForum

Content security policy#
Zdravím, zajímalo by mne co znamená value "sil" v následujícím úryvku kódu, popřípadě co tenhle kus kódu vlastně přesně dělá. Díky...

var yeniheaderlar =
[{
name : "Content-Security-Policy",
value : "sil"
}, {
name : "Content-Security-Policy-Report-Only",
value : "sil"
}, {
name : "X-Content-Security-Policy",
value : "sil"
}, {
name : "X-WebKit-CSP",
value : "sil"
}, {
name : "X-Frame-Options",
value : "sil"
}, {
name : "X-XSS-Protection",
value : "sil"
}, {
name : "Access-Control-Allow-Methods",
value : "POST, GET, OPTIONS, PATCH, DELETE, PUT"
}

(odpovědět)
ndex | 160.216.101.*24.11.2016 12:31
re: Content security policy#
Je to úryvek z tureckého kódu. Turecky znamená sil = vymazat. Takže nejspíše tento úryvek maže nastavení Content security policy z response headeru. Je to tak?


chrome.webRequest.onHeadersReceived.addList
ener(function (details) {
var yeniheaderlar =
[{
name : "Content-Security-Policy",
value : "sil"
}, {
name : "Content-Security-Policy-Report-Only",
value : "sil"
}, {
name : "X-Content-Security-Policy",
value : "sil"
}, {
name : "X-WebKit-CSP",
value : "sil"
}, {
name : "X-Frame-Options",
value : "sil"
}, {
name : "X-XSS-Protection",
value : "sil"
}, {
name : "Access-Control-Allow-Methods",
value : "POST, GET, OPTIONS, PATCH, DELETE, PUT"
}
];
var AccessControlAllowOrigin = true;
var AccessControlAllowCredentials = true;
for (z = 0; z < yeniheaderlar.length; z++) {
var zamazingo = false;
for (i = 0; i < details.responseHeaders.length; i++) {
if (details.responseHeaders.name.toLowerCase() == yeniheaderlar[z].name.toLowerCase()) {
if (yeniheaderlar[z].value == "sil") {
details.responseHeaders.splice(i, 1);
} else {
details.responseHeaders.value = yeniheaderlar[z].value;
}

(odpovědět)
ndex | 160.216.101.*24.11.2016 13:44
re: Content security policy#
Jedná se o kód, který nastavuje posluchače na příchozí HTTP response hlavičky serveru, a vždy když nějaká dorazí, tak jí buď vymaže (sil), nebo jí nastaví velice benevolentní obsah.

----------
Teprve když vstáváte s hackingem a uléháte s myšlenkou na něj, máte šanci být hackerem.
(odpovědět)
.cCuMiNn. | E-mail | Website | PGP24.11.2016 17:11
re: Content security policy#
Zdravím, potřeboval bych poradit.
Na scanu se objevuje toto hlášení , znamená to, že ochrana XSS není spuštěná ?
Web Browser XSS Protection is not enabled,
or is disabled by the configuration of the 'X-XSS-Protection'
HTTP response header on the web server
Přidané řádky v souboru /etc/apache2/conf-enabled/security.conf

Header set X-XSS-Protection "1; mode=block"
Header set X-Content-Type-Options: nosniff
Header set X-Permitted-Cross-Domain-Policies: none
Header set X-Frame-Options: deny

Poradíte jak to správně nastavit ?
(odpovědět)
Pepek | 166.70.207.*24.11.2016 20:44

Zpět
 
 
 

 
BBCode