वर्तमान में मैं अपनी सभी साइटों पर Modernizr का उपयोग कर रहा हूं और यह काम करता है कि यह कैसे काम करता है इसके लिए unsafe-inline
शैलियों की अनुमति है। मैं स्क्रिप्ट के लिए इनलाइन स्क्रिप्ट और असुरक्षित-eval की अनुमति नहीं दे रहा हूं। इनलाइन शैलियों की अनुमति देने के लिए सुरक्षा जोखिम क्या है इसके बारे में उत्सुक?सीएसपी शैली-src: 'unsafe-inline' - क्या यह इसके लायक है?
उत्तर
इनलाइन शैलियों की अनुमति देना आपको "अन्य एक्सएसएस" के लिए अतिसंवेदनशील बनाता है। क्रॉस साइट स्टाइल हमले।
यहां विचार यह है कि कोई भी स्थान जहां कोई उपयोगकर्ता आपके दस्तावेज़ में शैली विशेषता को इंजेक्ट कर सकता है, वे आपके पृष्ठ की उपस्थिति को किसी भी तरह से संशोधित कर सकते हैं। मैं गंभीरता से बढ़कर आदेश दिया गया कुछ संभावित हमलों की सूची दूंगा:
- वे आपके पृष्ठ को गुलाबी कर सकते हैं, और इसे मूर्खतापूर्ण दिख सकते हैं।
- वे आपके पृष्ठ के टेक्स्ट को संशोधित कर सकते हैं, ऐसा लगता है कि आप कुछ आक्रामक कह रहे हैं जो आपके पाठकों के दर्शकों को अपमानित कर सकता है।
- वे उपयोगकर्ता द्वारा जेनरेट की गई सामग्री बना सकते हैं, जैसे कि उनके द्वारा प्रदान किए गए लिंक सामान्य स्थानों के बाहर दिखाई देते हैं जहां लोग उपयोगकर्ता सामग्री देखने की अपेक्षा करते हैं, जिससे इसे आधिकारिक दिखाई देता है। (उदाहरण के लिए, अपनी साइट पर "लॉगिन" बटन को अपने स्वयं के लिंक से बदलना)।
- एक सावधानी से तैयार किए गए स्टाइल नियमों का उपयोग करके वे बाहरी डोमेन पर पृष्ठ पर शामिल कोई भी जानकारी भेज सकते हैं और अपने उपयोगकर्ताओं के खिलाफ दुर्भावनापूर्ण रूप से उस डेटा का खुलासा या अन्यथा उपयोग कर सकते हैं।
चौथा उदाहरण के लिए, जानकारी के साथ बाह्य डोमेन के लिए लीक होने पूरी तरह unsafe-inline
के बावजूद रोका जा सकता है तो आप यह सुनिश्चित अपने अन्य सीएसपी नियम अनुरोध के किसी भी प्रकार एक अविश्वस्त या वाइल्डकार्ड डोमेन के लिए जाने के लिए अनुमति देते हैं कभी नहीं प्रदान की है। लेकिन अगर आप किसी स्टाइल एट्रिब्यूट को कहीं अवरुद्ध करते हैं तो पहला 3 हमेशा संभव होगा।
Mike West कुछ और उदाहरणों के लिए कुछ साल पहले CSSConf के लिए अच्छा talk किया था।
- 1. ज़ेंड फ्रेमवर्क क्या यह इसके लायक है?
- 2. क्या प्रसंस्करण.जेएस इसके लायक है?
- 3. क्या हेरोोकू इसके लायक है?
- 4. जीडब्ल्यूटी और स्प्रिंग एमवीसी, क्या यह इसके लायक है?
- 5. विजुअल स्टूडियो में क्लास डिज़ाइनर - क्या यह इसके लायक है?
- 6. माइस्क्ल कनेक्शन पूलिंग प्रश्न: क्या यह इसके लायक है?
- 7. jQuery यूआई + एएसपी.नेट अपडेट पैनेल - क्या यह इसके लायक है?
- 8. एंड्रॉइड एंटी-क्रैक, क्या यह वैसे भी इसके लायक है?
- 9. सी: क्या इनलाइन कीवर्ड इसके लायक है?
- 10. क्या शून्य वस्तु वस्तु इसके लायक है?
- 11. क्या जेडब्ल्यूटी टोकन रिवोकेशन इसके लायक है?
- 12. क्या ओ/आर मैपिंग इसके लायक है?
- 13. PHP के लिए सरल एसएमटीपी ईमेल सत्यापन समारोह? इसके अलावा, क्या यह इसके लायक है?
- 14. क्या यह जीएनयू सीखने लायक है?
- 15. क्या यह COM सीखना लायक है?
- 16. ग्रुपलाउट: क्या यह सीखने लायक है?
- 17. क्या यह पर्ल 6 सीखने लायक है?
- 18. सीएसपी
- 19. क्या .NET कोड obfuscation वास्तव में इसके लायक है?
- 20. क्या मल्टी-एजेड आरडीएस वास्तव में इसके लायक है?
- 21. प्रिज्म वास्तव में डेवलपर की पेशकश करता है? और क्या यह इसके लायक है?
- 22. विधि पैरामीटर के लिए php प्रकार की जांच - क्या यह इसके लायक है?
- 23. __attribute __ (__ packed__) का उपयोग करके गद्देदार संरचनाएं, क्या यह वास्तव में इसके लायक है?
- 24. आप एक टीसीपी सर्वर का यूनिट-टेस्ट कैसे करते हैं? क्या यह इसके लायक भी है?
- 25. एक बड़ी mySql तालिका को छोटे में विभाजित करना - क्या यह इसके लायक है?
- 26. WCF लिनक्स पर - इसके लायक प्रयास
- 27. एमवीसी - एचटीएमएल minification यह लायक है?
- 28. टेक्स बनाम लेटेक्स: क्या यह बदलाव लायक है?
- 29. क्या यह Google एंड्रॉइड देव फोन खरीदने के लायक है?
- 30. जेएफएफ 2 उठाकर, क्या यह अब लायक है?
हे अच्छा पोस्ट, मैं उत्सुक हूं, अगर यह एक मोबाइल ऐप (डाउनलोड किया गया) है तो क्या होगा? क्या इसे खतरा माना जाएगा? मुझे लगता है कि वे केवल उस मामले में अपने स्वयं के ऐप से गड़बड़ कर पाएंगे और कुछ अजीब सीएसएस चीजों को अपने ऐप में कर सकते हैं, या? – mattias
क्या यह एक वेबदृश्य शैली ऐप होगा? यह सामान्य ब्राउज़र वितरित सामग्री के समान हमले वेक्टर होगा। यह वह उपयोगकर्ता नहीं है जो खुद पर हमला कर रहा है बल्कि एक बाहरी (इसलिए "क्रॉस-साइट") इकाई आपके द्वारा लक्षित अनुभव को बदल रहा है। इसे तीसरे पक्ष के जेएस/सीएसएस को अपहृत किया जा सकता है (क्या आप जो कुछ भी पैकेज करते हैं उसे सत्यापित कर रहे हैं?), अनुचित रूप से संतोषजनक सामग्री या छवियों जैसे कई अन्य वैक्टर जिन्हें मैं अभी तक समझने के लिए पर्याप्त स्मार्ट नहीं हूं। – jeteon
ऐसा लगता है कि वर्डप्रेस साइट्स के साथ अधिकांश विषयों को सीएसपी के साथ अनुपालन नहीं किया जाता है, इसलिए आप असुरक्षित इनलाइन, असुरक्षित-eval और यहां तक कि डेटा का उपयोग करने के लिए समाप्त होते हैं: अन्यथा आपकी पूरी साइट टूट जाती है और भयानक लगती है। जबकि मैं समझता हूं कि असुरक्षित-इनलाइन और असुरक्षित-eval का उपयोग करके आप XSS हमलों तक खुल सकते हैं "एक्स-एक्सएसएस-प्रोटेक्शन \t 1; मोड = ब्लॉक" पहले से ही इसे रोकने में मदद नहीं करता है? ऐसा लगता है कि WordPress थीम और प्लगइन लेखकों को अपनी सामग्री सीएसपी अनुपालन करने के लिए बहुत कुछ करना है। – MitchellK