Linha RM

Atalhos

Páginas filhas
  • 5- Aumentar o nível de segurança do portal

Versões comparadas

Versão antiga 1

changes.mady.by.user Marcos Vinicius Miranda de Souza Lima

Gravado em

comparado com

Nova versão 2

changes.mady.by.user Marcos Vinicius Miranda de Souza Lima

Gravado em

Chave

  • Esta linha foi adicionada.
  • Esta linha foi removida.
  • A formatação mudou.

...

Aviso

As configuração mencionadas abaixo são apenas uma sugestão de parametrização, pois dependerá da configuração do ambiente de cada cliente. 

Aviso

Todas as informações sugeridas foram checadas e testadas em um ambiente controlado com o apoio do nosso time de segurança e com resultados de Pentests executados internamente ou externamente pelos nossos clientes. No entanto, é recomendado que as configurações sejam realizadas inicialmente em um ambiente de homologação, devido à variedade e complexidade das configurações e especificidades dos servidores de cada cliente.

AtributoValores possíveisDescriçãoReferência
Content Security Policy (CSP)

default-src

script-src*

style-src

img-src

font-src

frame-src

frame-ancestors 

A diretiva Content-Security-Policy (CSP) é um cabeçalho de segurança importante que ajuda a mitigar os riscos de ataques como XSS (Cross-Site Scripting) e outros tipos de ataques baseados em injeção de código. Ela permite que os desenvolvedores controlem quais recursos são carregados em uma página web e de onde eles podem ser carregados.Content Security Policy (CSP) - HTTP | MDN
Dicacode
titleSugestão de configuração
 <httpProtocol>
     <customHeaders>
       <add 
   <httpProtocol>
      <customHeaders>
        <add name="Content-Security-Policy"
 
 value=

             " 

              " default-src 'self'
;
               script-src 'self' 'unsafe-inline' 'unsafe-eval' https://www.googletagmanager.com https://code.jquery.com;
               style-src 'self' 'unsafe-inline' 
 blob: data: gap:; 
				font-src 'self' https://
stackpath.bootstrapcdn.com https://www.googletagmanager.com;
               
fonts.gstatic.com; 
				img-src 'self' data
: https
:
//api.tiles.mapbox.com https://c.tile.openstreetmap.org https://a.tile.openstreetmap.org https://b.tile.openstreetmap.org https://api.qrserver.com https://chart.googleapis.com;
               connect-src 'self' data: https://api.tiles.mapbox.com https://api.qrserver.com https://chart.googleapis.com https://nominatim.openstreetmap.org;
               frame-ancestors 'self';
               object-src 'none';
               base-uri 'self';
         "/>
  </customHeaders>
</httpProtocol>
; 
				script-src 'report-sample' 'self' 'unsafe-inline' 'unsafe-eval'; 
				style-src 'report-sample' 'self' 'unsafe-inline';           
			  "/>
   </customHeaders>
 </httpProtocol>