Índice:
Objetivo:
Tem como objetivo descrever como configurar e aumentar a segurança para prevenção de ataques com injeção de código, XSS.
Ao adicionar um valor a Tag EnableContentSecurityPolicy as requisições passam a acrescentar no cabeçalho de resposta de cada requisição.
Configuração:
Adicionar a Tag nos arquivos "RM.Host.exe.config", "RM.host.Service.exe.config" dos servidores.
Exemplo: <add key=“EnableContentSecurityPolicy” value=“default-src 'self'; style-src 'unsafe-inline';” />
Para desativar, basta deixar o conteúdo do valor vazio ou remover a Tag do arquivo.
Diretivas de segurança CSP:
As inúmeras configurações que podem ser adicionadas no valor da Tag, seguem o padrão CSP, https://developer.mozilla.org/en-US/docs/Web/HTTP/CSP
Podem ser encontradas aqui, https://developer.mozilla.org/pt-BR/docs/Web/HTTP/Headers/Content-Security-Policy
Segue abaixo um pequeno resumo como exemplo:
default-src: É a diretiva padrão, que serve de base para todas as outras.
exe: default-src 'self'; Aceita apenas conteúdos da mesma origem da url do site.
script-src: Se refere aos scripts(javascript) e como eles poderão ser carregados.
exe: script-src 'unsafe-hashes'; Aceita apenas manipuladores de eventos e bloqueia tag <script> ou elementos com código embutido/inline.
style-src: Refere-se aos estilos e como poderão ser carregados.
exe: style-src 'unsafe-inline'; Permite usar o estilo embutido/inline nos elementos. *(Porém é considerado inseguro)