| Zdravím, zajímalo by mne co znamená value "sil" v následujícím úryvku kódu, popřípadě co tenhle kus kódu vlastně přesně dělá. Díky...
var yeniheaderlar =
[{
name : "Content-Security-Policy",
value : "sil"
}, {
name : "Content-Security-Policy-Report-Only",
value : "sil"
}, {
name : "X-Content-Security-Policy",
value : "sil"
}, {
name : "X-WebKit-CSP",
value : "sil"
}, {
name : "X-Frame-Options",
value : "sil"
}, {
name : "X-XSS-Protection",
value : "sil"
}, {
name : "Access-Control-Allow-Methods",
value : "POST, GET, OPTIONS, PATCH, DELETE, PUT"
}
(odpovědět) | ndex | 160.216.101.* | 24.11.2016 12:31 |
|
|
|
re: Content security policy | # |
| Je to úryvek z tureckého kódu. Turecky znamená sil = vymazat. Takže nejspíše tento úryvek maže nastavení Content security policy z response headeru. Je to tak?
chrome.webRequest.onHeadersReceived.addList ener(function (details) {
var yeniheaderlar =
[{
name : "Content-Security-Policy",
value : "sil"
}, {
name : "Content-Security-Policy-Report-Only",
value : "sil"
}, {
name : "X-Content-Security-Policy",
value : "sil"
}, {
name : "X-WebKit-CSP",
value : "sil"
}, {
name : "X-Frame-Options",
value : "sil"
}, {
name : "X-XSS-Protection",
value : "sil"
}, {
name : "Access-Control-Allow-Methods",
value : "POST, GET, OPTIONS, PATCH, DELETE, PUT"
}
];
var AccessControlAllowOrigin = true;
var AccessControlAllowCredentials = true;
for (z = 0; z < yeniheaderlar.length; z++) {
var zamazingo = false;
for (i = 0; i < details.responseHeaders.length; i++) {
if (details.responseHeaders.name.toLowerCase() == yeniheaderlar[z].name.toLowerCase()) {
if (yeniheaderlar[z].value == "sil") {
details.responseHeaders.splice(i, 1);
} else {
details.responseHeaders.value = yeniheaderlar[z].value;
}
(odpovědět) | ndex | 160.216.101.* | 24.11.2016 13:44 |
|
|
|
re: Content security policy | # |
| Jedná se o kód, který nastavuje posluchače na příchozí HTTP response hlavičky serveru, a vždy když nějaká dorazí, tak jí buď vymaže (sil), nebo jí nastaví velice benevolentní obsah.
----------
Teprve když vstáváte s hackingem a uléháte s myšlenkou na něj, máte šanci být hackerem. (odpovědět) | |
|
|
re: Content security policy | # |
| Zdravím, potřeboval bych poradit.
Na scanu se objevuje toto hlášení , znamená to, že ochrana XSS není spuštěná ?
Web Browser XSS Protection is not enabled,
or is disabled by the configuration of the 'X-XSS-Protection'
HTTP response header on the web server
Přidané řádky v souboru /etc/apache2/conf-enabled/security.conf
Header set X-XSS-Protection "1; mode=block"
Header set X-Content-Type-Options: nosniff
Header set X-Permitted-Cross-Domain-Policies: none
Header set X-Frame-Options: deny
Poradíte jak to správně nastavit ? (odpovědět) | Pepek | 166.70.207.* | 24.11.2016 20:44 |
|
|
|