Igény szerinti webinárium
Posted: Mon Dec 23, 2024 10:30 am
A szövegközi kivonatok tartalmi kivonatait újra kell számítani, ha megváltoznak.script-src Ha az direktívát a nélkül alkalmazza 'unsafe-inline', akkor a soron belüli szkriptek csak akkor futnak le , ha a tartalom SHA-ját is belefoglalja a CSP-be. Ezt a hash-t manuálisan kell kódolnia (és szükség szerint módosítania kell, amikor a szkript változik), vagy meg kell írnia egy összeállítási lépést, amely kiszámítja és beilleszti ezt a hash-t.
Hagyományosan a CSP válaszfejlécek statikusak, nem dinamikusak, ha CDN-ről szolgálják ki őket. Ez azt jelenti, hogy engedélyezőlistát kell vezetnie a webhelye által hivatkozott minden egyes domainről, amely könnyedén feldobhat akár több tíz vagy száz domaint is. De ne aggódjon – van jobb megoldásunk. Ugorjon le a CSP egyszerűsítése dinamikusan generált nonces-ekkel című részhez, hogy megtudja, hogyan valósíthatunk meg dinamikus nonce-t.
A CSP-módosítások működési kockázatának csökkentése érdekében a közös stratégia először egy Content-Security-Policy-Report-Only(CSP-RO) válaszfejléc telepítése. Ez lényegében beállítja a CSP telemarketingadatok vásárlása száraz futtatását, minden szabálysértést (azokat az erőforrásokat, amelyeket a böngésző blokkolna, mert a domain nem szerepel az engedélyezési listán) jelenti a CSP report-uridirektívában meghatározott URI-nak. A beépített CSP-RO segítségével tesztelheti a jelölt CSP-t a valódi éles forgalommal szemben. Ez a stratégia azonban nem bolondbiztos:
Csak azokról a domainekről lesz jelentés, amelyekhez a felhasználók ebben a tesztidőszakban hozzáférnek. Alkalmazásának vagy webhelyének poros sarkai csak akkor jelennek meg, ha forgalmat irányítanak rájuk. Az erőforrások különböző legfelső szintű tartományokra (TLD-kre) mutathatnak attól függően, hogy a forgalom melyik régióból származik (például .dea domainek Németországból érhetők el, míg a Franciaországból érkező forgalom elérheti a .frdomaineket), tehát ha nem minden régió aktív , akkor valószínűleg lyukak lesznek a jelentésekben.
A tesztidőszak folyamatban van, és nem ér véget. Általában a CSP-RO-t a CSP-vel együtt helyezik üzembe – úgy működik, mint egy béta –, ahol a fejlesztők tesztelhetik a változtatásokat az éles forgalom alapján, hogy megtudják, jelentenek-e szabálysértések. Ha egy idő után nem jelentenek szabálysértést, akkor az új szabályokat a rendszer a CSP-be emeli. A CSP-RO folyamatos jellege kimerítő a karbantartás szempontjából.
Vegyük fontolóra egy olyan marketingcsapatot, amely egy webhely szegmens vagy Google Címkekezelő implementációjával rendelkezik. Hozzá akarnak adni egy szkriptet, hogy az adatok elkezdjenek áramolni ehhez az új célhoz. Hacsak az új cél domainje már nem szerepel a CSP-ben, akkor nem fog működni, amíg a fejlesztők nem módosítják a kódot a hozzáadáshoz . Ez szűk keresztmetszetet teremt a marketingesek számára, akik a fejlesztőkre várnak, mivel a kódmódosítás emberi jóváhagyást igényel a lehívási kérelemben.
Hagyományosan a CSP válaszfejlécek statikusak, nem dinamikusak, ha CDN-ről szolgálják ki őket. Ez azt jelenti, hogy engedélyezőlistát kell vezetnie a webhelye által hivatkozott minden egyes domainről, amely könnyedén feldobhat akár több tíz vagy száz domaint is. De ne aggódjon – van jobb megoldásunk. Ugorjon le a CSP egyszerűsítése dinamikusan generált nonces-ekkel című részhez, hogy megtudja, hogyan valósíthatunk meg dinamikus nonce-t.
A CSP-módosítások működési kockázatának csökkentése érdekében a közös stratégia először egy Content-Security-Policy-Report-Only(CSP-RO) válaszfejléc telepítése. Ez lényegében beállítja a CSP telemarketingadatok vásárlása száraz futtatását, minden szabálysértést (azokat az erőforrásokat, amelyeket a böngésző blokkolna, mert a domain nem szerepel az engedélyezési listán) jelenti a CSP report-uridirektívában meghatározott URI-nak. A beépített CSP-RO segítségével tesztelheti a jelölt CSP-t a valódi éles forgalommal szemben. Ez a stratégia azonban nem bolondbiztos:
Csak azokról a domainekről lesz jelentés, amelyekhez a felhasználók ebben a tesztidőszakban hozzáférnek. Alkalmazásának vagy webhelyének poros sarkai csak akkor jelennek meg, ha forgalmat irányítanak rájuk. Az erőforrások különböző legfelső szintű tartományokra (TLD-kre) mutathatnak attól függően, hogy a forgalom melyik régióból származik (például .dea domainek Németországból érhetők el, míg a Franciaországból érkező forgalom elérheti a .frdomaineket), tehát ha nem minden régió aktív , akkor valószínűleg lyukak lesznek a jelentésekben.
A tesztidőszak folyamatban van, és nem ér véget. Általában a CSP-RO-t a CSP-vel együtt helyezik üzembe – úgy működik, mint egy béta –, ahol a fejlesztők tesztelhetik a változtatásokat az éles forgalom alapján, hogy megtudják, jelentenek-e szabálysértések. Ha egy idő után nem jelentenek szabálysértést, akkor az új szabályokat a rendszer a CSP-be emeli. A CSP-RO folyamatos jellege kimerítő a karbantartás szempontjából.
Vegyük fontolóra egy olyan marketingcsapatot, amely egy webhely szegmens vagy Google Címkekezelő implementációjával rendelkezik. Hozzá akarnak adni egy szkriptet, hogy az adatok elkezdjenek áramolni ehhez az új célhoz. Hacsak az új cél domainje már nem szerepel a CSP-ben, akkor nem fog működni, amíg a fejlesztők nem módosítják a kódot a hozzáadáshoz . Ez szűk keresztmetszetet teremt a marketingesek számára, akik a fejlesztőkre várnak, mivel a kódmódosítás emberi jóváhagyást igényel a lehívási kérelemben.