_CORE
Služby
AI & Agentic Systems Core Informační Systémy Cloud & Platform Engineering Data Platforma & Integrace Security & Compliance QA, Testing & Observability IoT, Automatizace & Robotika Mobile & Digital
Odvětví
Banky & Finance Pojišťovnictví Veřejná správa Obrana & Bezpečnost Zdravotnictví Energetika & Utility Telco & Média Průmysl & Výroba Logistika & E-commerce Retail & Loyalty
Reference Technologie Blog Knowledge Base O nás Spolupráce Kariéra
Pojďme to probrat

Content Security Policy (CSP) — praktický průvodce

01. 01. 2024 1 min čtení intermediate

CSP říká prohlížeči, odkud smí načítat skripty, styly, obrázky. Správně nastavený CSP zastaví většinu XSS útoků.

Základní CSP

Content-Security-Policy: default-src ‘self’; script-src ‘self’ ‘nonce-abc123’; style-src ‘self’ ‘unsafe-inline’; img-src ‘self’ data: https:; connect-src ‘self’ https://api.example.com; frame-ancestors ‘none’;

Nonce-based CSP

import secrets @app.after_request def add_csp(response): nonce = secrets.token_urlsafe(32) response.headers[‘Content-Security-Policy’] = f”script-src ‘self’ ‘nonce-{nonce}’” return response

Postupné nasazení

  1. Report-Only s permisivní politikou
  2. Analyzujte reporty
  3. Zpřísněte politiku
  4. Přepněte na enforcement
  5. Monitorujte reporty

Klíčový takeaway

CSP je nejúčinnější obrana proti XSS. Začněte s Report-Only, postupně zpřísňujte.

securitycspxssheaders

Další know-how

XSS prevence — Cross-Site Scripting ochrana

Stored, Reflected a DOM-based XSS. Sanitizace, CSP, encoding.

HTTP Security Headers — kompletní přehled

Všechny důležité bezpečnostní HTTP hlavičky na jednom místě.

SSL/TLS certifikaty v Java aplikacich

Sprava SSL certifikatu v Java keystores. Keytool, truststore, mutual TLS a caste problemy s HTTPS.