tutorial aws para iniciantes || TREINAMENTO ONLINE DA AWS || Treinamento Aws

Quero proteger meu site usando uma Política de Segurança de Conteúdo. Eu criei a seguinte política:

X-Content-Security-Policy: default-src https://www.example.com https://static.example.com; script-src https://ajax.googleapis.com 

Tenho duas perguntas sobre a política de segurança de conteúdo que desejo definir.

  1. Eu uso o CDN do Google apenas para obter a biblioteca jQuery. É possível fazer uma política que só permite que determinados scripts sejam carregados de um domínio em vez do genérico script-src?
  2. Minha política está correta? Por exemplo. tendo dois domínios para o default-src e um separado para script-src. Ainda serei capaz de servir script-src arquivos através de meus próprios domínios?

Para Q1: Não. Na especificação W3C, diz que script-src especifica hosts da seguinte forma:

( [ scheme '://' ] host [ port ] ) 

portanto, nada depois do host ou da porta pode ser usado.

Para Q2: Pela minha leitura das especificações, sim, está correto.

Se não for especificado explicitamente na política, as diretivas listadas acima usarão as fontes padrão.

Portanto, você tem dois domínios como padrão para tudo e, em seguida, refina ainda mais o script-src com um domínio específico. No entanto, se você deseja exibir arquivos script-src de seu próprio domínio, será necessário adicionar seu domínio após ajax.googleapis.com.

funcionou para você: Charles Robertson | Quer entrar em contato conosco?