Content Security Policy Pro
Идея довольно проста: отправляя заголовок CSP с веб-сайта, вы сообщаете браузеру, что ему разрешено выполнять, а что - блокировать. Таким образом, политика безопасности контента помогает блокировать уязвимости XSS. CSP позволяет хосту указать белый список одобренных источников, из которых браузер может загружать контент, и является эффективным средством противодействия XSS-атакам. Политика безопасности контента доставляется через заголовок ответа HTTP, как и HSTS, и определяет утвержденные источники контента, который может загружать браузер. Это может быть эффективным средством противодействия атакам межсайтового скриптинга (XSS), а также широко поддерживается и обычно легко развертывается. Директивы CSP * default-src: Определите политику загрузки для всех типов ресурсов в случае, если выделенная директива типа ресурса не определена (резерв), * script-src: Определите, какие скрипты может выполнять защищенный ресурс, * object-src: Определить из где защищенный ресурс может загружать плагины, * style-src: Определить, какие стили (CSS) пользователь применяет к защищенному ресурсу, * img-src: Определить, откуда защищенный ресурс может загружать изображения, * media-src: Определить, откуда защищенный ресурс может загружать видео и аудио, * frame-src: Определить, откуда защищенный ресурс может вставлять кадры, * font-src: Определить, откуда защищенный ресурс может загружать шрифты, * connect-src: Определить, какие URI защищенного ресурса может загружаться с использованием интерфейсов сценария, * form-action: определяет, какие URI могут использоваться в качестве действия элементов HTML-формы, * sandbox: указывает политику песочницы HTML, которую пользовательский агент применяет к защищенному ресурсу, * script-nonce: определить сценарий исполнение, требуя присутствия ce указанного одноразового номера в элементах скрипта, * plugin-types: определите набор подключаемых модулей, которые могут быть вызваны защищенным ресурсом, ограничив типы ресурсов, которые могут быть встроены, * отраженный-xss: инструктирует пользовательского агента активировать или отключить любую эвристику, используемую для фильтрации или блокировки отраженных атак межсайтового скриптинга, эквивалентных эффектам нестандартного заголовка X-XSS-Protection, * report-uri: указывает URI, на который пользовательский агент отправляет отчеты о нарушении политики Написано Автор: Этот плагин был написан веб-разработчиком Лаксманом Тапой.
Автор: Laxman Thapa
Версия: 1.3.5
Последнее обновление: 2019-04-04 7:37am GMT