Основные блоги b.Z » Все блоги » Про интернет » [Из песочницы] Обход CSP при помощи расширений Google Chrome

[Из песочницы] Обход CSP при помощи расширений Google Chrome

Все блоги / Про интернет 18 ноября 2016 569   
Смотреть в Telegram Поделиться в TG
Не так давно настроил я на своем проекте CSP (content security policy), и решил что жизнь удалась. Ведь теперь невозможно подгрузить скрипты с запрещенных ресурсов, и даже о попытке сделать это, я буду уведомлен соответствующей ошибкой. А если кто-то и подгрузить скрипт, то все равно ничего не сможет передать, ведь ajax запросы отправляются только на мои сервера.

Так я подумал, и был какое-то время спокоен.
Читать дальше →

Источник: Хабрахабр

  • Оцените публикацию
  • 0

💬 Комментарии

В связи с новыми требованиями законодательства РФ (ФЗ-152, ФЗ «О рекламе») и ужесточением контроля со стороны РКН, мы отключили систему комментариев на сайте.

🔒 Важно Теперь мы не собираем и не храним ваши персональные данные — даже если очень захотим.

💡 Хотите обсудить материал?

Присоединяйтесь к нашему Telegram-каналу:

https://t.me/blogssmartz

Нажмите кнопку ниже — и вы сразу попадёте в чат с комментариями

предыдущая статья
следующая статья

Похожие публикации

[Перевод] Улучшение сетевой безопасности с помощью Content Security Policy

Content Security Policy (CSP, политика защиты контента) — это механизм обеспечения безопасности, с помощью которого можно защищаться от атак с внедрением контента, например, межсайтового скриптинга (XSS, cross site scripting). CSP описывает безопасные источники загрузки ресурсов, устанавливает

подробнее »
25 ноября 2015
[Из песочницы] Упрощаем работу с Check Point API с помощью Python SDK

Вся мощь взаимодействия с API раскрывается при совместном использовании с програмным кодом, когда появляются возможности динамически формировать API запросы и инструменты для анализа API ответов. Однако, малозаметным до сих пор остаётся Python Software Development Kit (далее — Python SDK) для Check

подробнее »
5 июня 2020
Как избавиться от бумажных носителей информации. FAQ

Вот уже год я публикую посты на тему «Как избавиться от бумажных носителей информации», и все это время мне продолжают задавать одни и те же вопросы. Я в очередной раз убедился в этом во время своего появления на проекте “Ask an Expert” сайта lifehacker.com в качестве эксперта по

подробнее »
4 апреля 2014
[Из песочницы] XSS на сайтах, использующих Instagram API

Разрабатывая приложение, использующее Instagram API, я заметил, что мне приходят не преобразованные теги. Безусловно, такая проблема решается за пару строчек кода. Но я подумал, а что если не все разработчики преобразовывают теги в сущности перед выводом на страницу, полностью доверяя API. Кто

подробнее »
3 февраля 2015
Response Policy Zones (RPZ) на страже сети

Мой эксперимент с открытием рекурсивного DNS сервера для всех желающих получился настолько успешным, что срочно пришлось менять правила игры. Вместо полного закрытия рекурсивного DNS я решил ограничить доступ к наиболее популярным у атакующих доменам с помощью механизма RPZ (Response Policy Zone).

подробнее »
9 сентября 2014
[Из песочницы] Кто сканирует Интернет и существует ли Австралия

Любой, кто поднимал сайты знает, что стоит запустить веб-сервер, как на него начинают приходить запросы. Еще и DNS про него толком не знает, а в лог-файле ошибок httpd уже полно записей вроде таких: Вот мне стало интересно, и я решил изучить этот вопрос поглубже. Как только появилось время, я

подробнее »
1 мая 2018
Меню сайта
ТОП-10
Архив публикаций
Авторизация
Комментарии