[B! CSP][XSS] efclのブックマーク

Introduction - Content Security Policy

Content Security Policy is a mechanism designed to make applications more secure against common web vulnerabilities, particularly cross-site scripting. It is enabled by setting the Content-Security-Policy HTTP response header. The core functionality of CSP can be divided into three areas: Requiring that all scripts are safe and trusted by the application owner (ideally by making sure they match an

efcl 2019/07/23

CSP(Content Security Policy)についての解説サイト。 CSPとはどのようにXSSを防ぐのか、使う理由/使わない理由、CSPの設定、FAQなどが書かれている

リンク

XSSを防ぐ新しいXSS-Protectionヘッダ - ASnoKaze blog

evalとreportOnlyについて追記しました (2016/10/10) 2016/10/20 仕様名は以下の通りになりました。Anti-XSS Response-Time Uniqueness Requirement また、ヘッダ名は、XSS-Protectionヘッダではなく、ARTURヘッダとなっておりますが、また変更される可能性があります。 Googleの調査によると、CSPによるXSSの防止は現実的にデプロイの欠陥によりXSSの防止効果がないことを示しています。調査は「CSP Is Dead, Long Live CSP!」としてACMのカンファレンスで発表され、ペーパーも閲覧することができます。 9月に行われたW3C TPAC 2016のWebAppSecのミーティングで議論され、GoogleのMike West氏より新しくXSS Protectionという仕様が提案されて

efcl 2016/10/09

`XSS-Protection`について。nonce

XSS
CSP

リンク

GitHub - jklmnn/imagejs: Small tool to package javascript into a valid image file.

You signed in with another tab or window. Reload to refresh your session. You signed out in another tab or window. Reload to refresh your session. You switched accounts on another tab or window. Reload to refresh your session. Dismiss alert

efcl 2014/11/17

JavaScriptをValidな画像に偽装するツール。画像アップロード可能なサービス + 許可されたドメイン(そのサービス)からしかscriptを読み込めないときに、アップロードしたjsを読み込ませてXSSに使う

リンク

はてなグループの終了日を2020年1月31日(金)に決定しました - はてなの告知

はてなグループの終了日を2020年1月31日(金)に決定しました以下のエントリの通り、今年末を目処にはてなグループを終了予定である旨をお知らせしておりました。 2019年末を目処に、はてなグループの提供を終了する予定です - はてなグループ日記このたび、正式に終了日を決定いたしましたので、以下の通りご確認ください。終了日: 2020年1月31日(金) エクスポート希望申請期限:2020年1月31日(金) 終了日以降は、はてなグループの閲覧および投稿は行えません。日記のエクスポートが必要な方は以下の記事にしたがって手続きをしてください。はてなグループに投稿された日記データのエクスポートについて - はてなグループ日記ご利用のみなさまにはご迷惑をおかけいたしますが、どうぞよろしくお願いいたします。 2020-06-25 追記はてなグループ日記のエクスポートデータは2020年2月28

efcl 2014/06/14

CSPで保護されたサイトでのXSS。インラインスクリプトまだ無効化されてない時にsame originを上手く使って外に投げる手段

XSS
CSP

リンク

Build software better, together

efcl 2013/11/04

AST.NETでのXSSAuditorをbypass事例、CSPやCORS、withCredentials、JSONP、iframe sandbox/X-Frame-Optionsについて

リンク

monoweb.info - このウェブサイトは販売用です！ - monoweb リソースおよび情報

このウェブサイトは販売用です！ monoweb.info は、あなたがお探しの情報の全ての最新かつ最適なソースです。一般トピックからここから検索できる内容は、monoweb.infoが全てとなります。あなたがお探しの内容が見つかることを願っています！

efcl 2013/06/19

CSPで抑制される機能について

リンク

Preventing XSS with Content Security Policy

Ben Vinegar Software engineer at Disqus Co-author, Third-party JavaScript (Manning) Once ate 7 McDonald's cheeseburgers in one sitting Implemented Content Security Policy in Disqus Cross-Site Scripting (XSS) This is still a probl em Cross-site scripting (XSS) Vulnerability where attacker injects JavaScript code into a web document <?php $name = $_GET['name']; echo "Welcome $name"; ?> GET http://urs