Блог #безопасность

Новый год 2008 (Норвегия, Швеция, Дания). Крунхюсет – старейшее здание Гётеборга
Перу и Боливия. Зима-весна 2011. Солончак Уюни
Байкал, остров Ольхон, Хужир. Март 2018. Дерево
Перу и Боливия. Зима-весна 2011. Ламы
Байкал, остров Ольхон, Хужир. Март 2018. Дорога на Ольхоне
Тенерифе.
Исландия 2023.
Новый год 2008 (Норвегия, Швеция, Дания). Дорожка
Лето 2008 (Куба). Сенфуегос — Театр Томаса Терри
Гармиш-Партенкирхен, Миттенвальд, Инсбрук. Май-июнь 2022. Еще одно вкусное баварское пиво
Осень. %!s(<nil>)
Хорватия, Млини 2017. Панорама Млини
Лето 2008 (Куба). Типичный Кубинский пейзаж
Перу и Боливия. Зима-весна 2011. Закат
Тойфельсберг. %!s(<nil>)
Стамбул 2024. %!s(<nil>)
Ирландия. %!s(<nil>)
Перу и Боливия. Зима-весна 2011. Куско, малыш
Ирландия, март 2015. Еще один типичный квартал
Хорватия, Млини 2017. Пляж
Киев, лето 2009. Разрушенный вандалами и реставрируемый памятник Ленину
Байкал, остров Ольхон, Хужир. Март 2018. Ольхон
Тенерифе.
Перу и Боливия. Зима-весна 2011. Сочное фото
Чешская Швейцария и немного Дрездена. Дорога вдоль реки
Тайланд 2018. %!s(<nil>)
Весна 2012. Германия — Франция — Италия. Трасса Формулы 1 в Монте-Карло
Перу и Боливия. Зима-весна 2011. Солончак Уюни
Тенерифе.
Весна 2012. Германия — Франция — Италия. Толпа в Каннах
Новый Год 2009 (Амстердам). типичная обувь без голландца
csp_shield_logo_cover.jpg

Введение в Content Security Policy (CSP)

Перевод статьи Майка Веста An Introduction to Content Security Policy от 15 июня 2012 года. Несмотря на то, что статье уже больше 2 лет, информация все еще актуальна и полезна. Об интересном опыте внедрения CSP в Яндексе можно почитать в этой статье.


Модель безопасности в вебе базируется на политике одинакового источника (same origin policy). Только код сайта https://mybank.com должен иметь доступ к данным https://mybank.com, а https://evil.example.com ни при каких условиях не должен получить такого доступа. Каждый источник остается изолированным от остального веба, что дает разработчикам безопасную песочницу, в которой можно разрабатывать и экспериментровать. Теоретически, это бриллиант без изъяна, но на практике, злоумышленники могут найти способы обойти эту систему.

Например, такие атаки как межсайтовый скриптинг (Cross-site scripting, XSS) позволяют обойти политику одного источника, обманным путем заставив сайт доставить вредоносный код вместе легитимным контентом. Это большая проблема, так как браузеры доверяют всему коду, который показывается на странице, так как он является частью страницы доставленной из доверенного источника. XSS Cheat Sheet — это старый, но весьма актуальный список методов, которые могут быть использованы злоумышленниками для внедрения зловредного кода. Если злоумышленнику успешно удается внедрить любой код в страницу, то игру можно считать оконченной: данные сессии пользователя становятся скомпроментированными и информация, которая должна оставаться в секрете, попадает в руки к Плохим Парням™. Мы, конечно же, хотим предотвратить такую возможность.

Этот туториал освящает один многообещающий механизм защиты, который может значительно снизить риск и вред от XSS-атак в современных браузерах — Content Security Policy (CSP).

Читать дальше ➠