CSP (Content-Security-Policy)

Andre74 · Janeiro 31, 2024, 5:47pm

Bom dia a todos!

Pessoal, o sistema que desenvolvi vai passar por uma auditoria, estou precisando ativar uns cabeçalhos de segurança, o CSP é um deles.

Alguém já passou por isso e poderia me dar umas dicas? Pois “setei” o CSP como default-src ‘self’ e não deu muito certo. A aplicação ficou totalmente desconfigurada.

Agradeço desde já!
Abraço a todos!

buhlerax · Janeiro 31, 2024, 5:52pm

Tirei do manual do Scriptcase:

Feature-Policy

O valor deste cabeçalho é uma política ou conjunto de políticas que você deseja que o navegador respeite para uma determinada origem.

A lista de permissões de origem pode assumir vários valores diferentes:

Diretivas da opção Referrer-Policy

*: O recurso é permitido em contextos de navegação de nível superior e em contextos de navegação aninhados (iframes).
'self': O recurso é permitido em contextos de navegação de nível superior e contextos de navegação aninhados da mesma origem. Não é permitido em documentos de origem cruzada em contextos de navegação aninhados.
'none': O recurso não é permitido em contextos de navegação de nível superior e não é permitido em contextos de navegação aninhados.
<origin(s)>: origens específicas para as quais habilitar a política (por exemplo https://example.com).

Logo, veja se o Self não está numa das situações acima que bloqueia o conteúdo

Andre74 · Janeiro 31, 2024, 8:43pm

Boa tarde buhlerax!
Dei uma olhada na documentação, mas não me “clareou”…
Valeu pela atenção!

Andre74 · Janeiro 31, 2024, 8:46pm

Alguém teria um exemplo de CSP para me ajudar?

buhlerax · Fevereiro 1, 2024, 12:42pm

Talvez aqui seja mais fácil de entender:

lucasmatsumoto · Fevereiro 1, 2024, 2:38pm

Deveria vir nativo o nonce para cada script que o SC usa.

a auditoria é do que ? xss ? sqlinjection ? brute force ?

lucasmatsumoto · Fevereiro 1, 2024, 2:41pm

coloca no scriptinit esse código , porém quando vc usa o unsafe-inline você deixa passar bastante coisa …

header(“Content-Security-Policy: script-src ‘self’ ‘unsafe-inline’ ‘unsafe-eval’; img-src ‘self’; style-src ‘self’ ‘unsafe-inline’”);

Andre74 · Fevereiro 1, 2024, 5:07pm

Bom dia lucasmatsumoto!
Obrigado pela atenção!

Passou por uma auditoria de segurança. A empresa nos mandou um relatório (Gerado pelo PEN TEST) especificando os riscos, por exemplo “setar” os cookies criados como Secure e HttpOnly, ativar alguns cabeçalhos, ocultar dados do cabeçalho Server… E o CSP é um deles para ser ativado.

Andre74 · Fevereiro 1, 2024, 5:09pm

Valeu! Obrigado lucasmatsumoto!
Irei aplicar e liberar para a auditoria novamente.

Abraço

Andre74 · Fevereiro 1, 2024, 5:10pm

Bom dia buhlerax!

Muito obrigado! Vou dar uma estudada!