Änderungen

Wechseln zu: Navigation, Suche

Content-Security-Policy-Schwachstelle/DE/Solution Tips

37 Bytes entfernt, 12:12, 4. Apr. 2019
keine Bearbeitungszusammenfassung
Verwenden Sie den CSP mit default-src 'none' oder 'self' und ohne 'unsafe-eval' oder 'unsafe-inline' Richtlinien. Mehr zu '''Content Security Policy''' (zu deutsch etwa "Richtlinie für die Sicherheit der Inhalte") finden Sie bei '''[https://wiki.selfhtml.org/wiki/Sicherheit/Content_Security_Policy SELFHTML >>]'''
 
 
--snip<br>
'''Beispiele für den Header der Startseite:'''
<pre> <meta http-equiv="Content-Security-Policy" content="default-src 'self'; script-src 'self'"> <meta http-equiv="X-Content-Security-Policy" content="default-src 'self'; script-src 'self'"> <meta http-equiv="X-WebKit-CSP" content="default-src 'self'; script-src 'self'"></pre>
'''Konfiguration des Webservers'''
Wenn man seinen eigenen Webserver konfigurieren kann, was bei günstigen Hostingangeboten in aller Regel nicht der Fall ist, dann gibt es diese Einstellungsmöglichkeit über die '''Bearbeitung der .htaccess''':
<pre> # Download: Lade Inhalte nur von Seiten, die explizit erlaubt sind # Beispiel: Alles von der eigenen Domain erlauben, keine Externas: Header set Content-Security-Policy "default-src 'none'; frame-src 'self'; font-src 'self';img-src 'self' siwecos.de; object-src 'self'; script-src 'self'; style-src 'self';"
</pre> Header set Content-Security-Policy "default-src 'none'; frame-src 'self'; font-src 'self';img-src 'self' siwecos.de; object-src 'self'; script-src 'self'; style-src 'self';"
--snap
Header Scanner
Hier finden Sie ein Beispiel, wie eine .htaccess-Datei aussehen kann, um einen höheren Wert beim '''Header Scanner''' zu erzielen.
([[Htaccess/DE|.htaccess-Beispiel]])
Siwebot
Administratoren
7.576
Bearbeitungen
Abgerufen von „https://www.siwecos.de/wiki/Spezial:Mobiler_Unterschied/9478

Navigationsmenü