Linha RM

Atalhos

Páginas filhas
  • 5- Aumentar o nível de segurança do portal

Versões comparadas

Versão antiga 6

changes.mady.by.user Marcos Vinicius Miranda de Souza Lima

Gravado em

comparado com

Nova versão 7

changes.mady.by.user Marcos Vinicius Miranda de Souza Lima

Gravado em

Chave

  • Esta linha foi adicionada.
  • Esta linha foi removida.
  • A formatação mudou.

O portal do professor, permite que a instituição realize a configuração do headers da forma que desejar.


Aviso
titleConfigurações do headers do portal do professor

Para realizar as configurações do headers abaixo será necessário acessar o arquivo web.config da pasta FrameHTML\Web\App\Edu\PortalDoProfessor

Aviso

As configuração mencionadas abaixo são apenas uma sugestão de parametrização, pois dependerá da configuração do ambiente de cada cliente. 

Aviso

Todas as informações sugeridas foram checadas e testadas em um ambiente controlado com o apoio do nosso time de segurança e com resultados de Pentests executados internamente ou externamente pelos nossos clientes. No entanto, é recomendado que as configurações sejam realizadas inicialmente em um ambiente de homologação, devido à variedade e complexidade das configurações e especificidades dos servidores de cada cliente.

AtributoValores possíveisDescriçãoReferência
Content Security Policy (CSP)

default-src

script-src

style-src

img-src

font-src

frame-src

frame-ancestors 

A diretiva Content-Security-Policy (CSP) é um cabeçalho de segurança importante que ajuda a mitigar os riscos de ataques como XSS (Cross-Site Scripting) e outros tipos de ataques baseados em injeção de código. Ela permite que os desenvolvedores controlem quais recursos são carregados em uma página web e de onde eles podem ser carregados.Content Security Policy (CSP) - HTTP | MDN
Bloco de código
titleSugestão de configuração
   <httpProtocol>
      <customHeaders>
	 	<remove name="Content-Security-Policy" />
        <add name="Content-Security-Policy" value=
              " default-src 'self' blob: data: gap:; 
				font-src 'self' https://fonts.gstatic.com; 
				img-src 'self' data:; 
				script-src 'report-sample' 'self' 'unsafe-inline' 'unsafe-eval'; 
				style-src 'report-sample' 'self' 'unsafe-inline';           
			  "/>
   </customHeaders>
 </httpProtocol>
Aviso

A tag "<remove name="Content-Security-Policy" />", deve ser incluída obrigatóriamente caso a instituição deseja customomizar o atributo "Content Security Policy (CSP)".

Informações
titleAtributos obrigatórios

Os atributos abaixo são obrigatórios devido a exigência do funcionamento da aplicação nas diretivas relacionadas

  • 'unsafe-inline': script-src e style-src
  • 'unsafe-eval': script-src
Aviso

Todas as customizações do cliente, exemplo imagens, fontes, url, entre outros, devem ser incluídas no atributo "Content Security Policy (CSP)", pois são necessáriopara o funcionamento da aplicação.

Informações

O elemento HttpProtocol deve ser incluído no nó <system.webServer>