跳到主要內容

網站掃描CSP弱點問題

 最近被網站弱點掃描的CSP問題困擾很久,CSP問題主要是兩種:

1.在CSP中允許內聯腳本執行

2.從CSP中缺少必要的指令

AppScan這兩個問題提供的處理方式都是「配置正確值的Content-Security-Policy」,等於沒說。

後來才發現AppScan無法處理多層的Content-Security-Policy,例如在httpd.conf中設定:

default-src 'self' 'unsafe-inline';

又在htaccess設定

script-src 'self';

正常來說瀏覽器會採用htaccess的設定,即「script-src 'self';」而不是「script-src 'self' 'unsafe-inline'」,以安全性來說是符合的,但AppScan無法判斷,直接當你沒設定好CSP,解決方法只有不要重複設定,保留一項設定就好。


標籤:

留言

張貼留言

這個網誌中的熱門文章

河口湖的富士山遐想(下)

大池 第三天離開甲府前往河口湖,這趟旅程才算正式開始吧,只是一大早就開始下雨,一整天都陰陰的,河口湖的氣溫也很低,即使是五月中也只有10幾度,好險我們連著兩夜都住河口湖,就是賭總不會連著都下雨。 第一天的旅館是「大池」,那時候剛整修完重新開放,設備都很新,但似乎連人都很新...... https://www.ooike-hotel.co.jp/ 這間的露天溫泉看不到富士山,室內湯可以,但天氣太糟,什麼都看不到。 房間實景,天氣好時窗戶外就可以看到富士山。 窗外的景色,中間右邊可以看到一點點富士山的底部 隔天終於等來了晴天,一大早從窗外就能看到富士山,心情愉快。 旅館旁有個小池塘,從池塘邊看到的富士山更有另一種風情。 芝櫻季 芝櫻其實跟櫻花沒關係,只是也有粉紅、白色等各種顏色,開花期間又與櫻花相近,而且是草本,好種又不受氣候影響,還容易拼各種圖案,遂成了櫻花季期間最受歡迎的展覽用花了。日本到處都有芝櫻季,河口湖也不例外。只是展覽地點非常偏遠,要從河口湖站搭快一小時的車,好險有車票加門票的優惠卷。不過老實說,這種展覽去過就好了,展場跟人潮都沒什麼好回味的。 特地拍一張旗幟做紀念。 門票加車票的套票,好像有便宜數百日圓的樣子。 會場風景隨手拍。 會場中到處都是這種花毯。 富士山造景。 中間的就是富士山,可惜雲多看不到。 音樂盒之森 來這裡可說是個美麗的錯誤,從芝櫻會場回到河口湖後,我們便移動到第二天的住宿地點,但時間太早了,還不能入住,只好隨便在週邊逛逛,看到地圖不遠處有這個景點,便信步前往,豈料中間的路基本上是給車走不是給人走的,而且非常遠...。好在歐洲風的造景做得很用心,音樂盒的表演及介紹也很到位,是相當值得一逛的地方。 音樂盒之森的招牌。 園區中的歐洲造景 來到音樂盒之森當然要看音樂盒,這裡有日本最大的表演型音樂盒,就是會利用各種娃娃演奏出音樂的那種,規模有一整面牆那麼大。 另外也有使用音樂盒當伴奏的真人表演,這些音樂盒都是古董了,現在沒人在做了。 整個園區說大不大,但規劃得很好,走完一圈看完兩個表演,也差不多要前往住宿點了。 富士吟景 河口湖第二的住宿地是富士吟景。河口湖大致分成南北兩區,第一天住的是南區,離湖邊較遠,住宿選擇多而且也比較平價。第二天住北區,幾乎都是沿著湖邊建的,價格自然也高了許多,富士吟景算是其中CP值不錯的飯店了。 http://www.fu...
張貼留言
閱讀完整內容

Google 分析 (Google Analytics) 造成的「加密的階段作業 (SSL) Cookie 中遺漏安全屬性」

 Google 分析 (Google Analytics) 的cookies會造成「加密的階段作業 (SSL) Cookie 中遺漏安全屬性」的弱點,網路上有一種解決方式,在gtag中加上參數,如下: gtag('config', 'G-XXXXXXXXXX', {'cookieFlags': 'SameSite=Strict; Secure'}); 但我的系統卻無法使用,研究了一下,要拆開寫,如下   gtag('set', 'cookie_flags', 'SameSite=Strict;Secure');   gtag('config', 'G-XXXXXXXXXX'); 要拆成兩行,Secure就可以用了。 但更簡單的方法是在httpd.conf中加入這一行 Header edit Set-Cookie ^(.*)$ $1;HttpOnly;Secure;SameSite=Strict 解決。
張貼留言
閱讀完整內容