MING: Content Security Policy 資料整理

2017年1月20日星期五

Content Security Policy 資料整理

Content Security Policy (CSP) Quick Reference Guide

Apache 設定參考

調整 httpd.conf 將 LoadModule headers_module modules/mod_headers.so 啟用
加入以下腳本 example

<IfModule mod_headers.c>
   Header set X-Frame-Options "SAMEORIGIN"
   Header set Frame-Options "SAMEORIGIN"
   #Header set Content-Security-Policy "default-src 'self'"
   ##Allow Google Analytics, Google AJAX CDN and Same Origin ......
    Header set Content-Security-Policy "default-src 'self' 'unsafe-eval' 'unsafe-inline' www.google-analytics.com www.google.com www.gstatic.com *.lib.nthu.edu.tw;"
</IfModule>

P.S. Header set X-Frame-Options "ALLOW-FROM http://host1 ,http://host2"

相關參考

HTTP Headers 的資安議題 (1)

Content-Security-Policy - HTTP Headers 的資安議題 (2)
X-Frame-Options 回應標頭
Apache 針對 Header 的安全性設定
CROSSWALK PROJECT Content security policy
Apache针对某一目录设置X-Frame-Options的方法

MING

網頁

2017年1月20日星期五

Content Security Policy 資料整理

沒有留言:

張貼留言

網頁

2017年1月20日 星期五

Content Security Policy 資料整理

沒有留言:

張貼留言

RSS

2017年1月20日星期五