當我們使用CSP時,我們可以為它輸入一個日志錯誤URL,每次發生錯誤時,都會將帶有詳細資訊的錯誤發送到該URL,我可以將其記錄下來,每個人都知道我們的CSP URL日志錯誤是不是很危險?例如,每個人都可以將虛假資料發送到 CSP URL 日志錯誤。
我們可以向公眾隱瞞嗎?
content-security-policy: default-src 'self'; report-uri /api/CspReport/Log
uj5u.com熱心網友回復:
您無法隱藏 CSP 報告端點,CSP 設計人員假定公開它是安全的。
向 CSP 終端發送垃圾郵件毫無意義,因為:
- 精心設計的 CSP 端點會檢查允許發送報告的域并拒絕虛假報告。
- 如果使用服務器的垃圾郵件,CSP 端點可以輕松地通過 IP 阻止這些郵件。
- 如果某些站點將使用隱藏腳本發送虛假報告,則報告將使用訪問者的 IP 發送。但是 CSP 報告是使用強制參考欄位和 AFAIK 發送的,對于 CSP,不能在瀏覽器設定中禁用此功能。因此,您可以通過推薦人阻止虛假報告。
由于這種垃圾郵件沒有ROI(投資回報)??,沒有人會浪費他的資源。
注意:如果你很在意,可以根據散布飛機的虛假目標型別來組織防護,以防止導彈。
您可以在 report-uri 中指定許多 CSP 端點,并且只有一個是真正的端點。其他的什么都不做,只回傳 204 No content 或 200 OK 就像真正的 CSP 端點一樣。
同樣對于端點,您可以在您的域中生成一個隨機子域并定期更改它。
轉載請註明出處,本文鏈接:https://www.uj5u.com/houduan/334649.html
上一篇:從ASP.NET應用程式連接到AzureActiveDirectory
下一篇:隱藏欄位中的日期時間選擇器值