[B! CSP] efclのブックマーク

efcl id:efcl

CSPに関するefclのブックマーク (92)

Safari 18.4 supports CSP Reporting API by tunetheweb · Pull Request #26533 · mdn/browser-compat-data
efcl 2025/04/17
Safari 18.4でCPS Reporting APIをサポート

safari

CSP
リンク
CSPでサードパーティースクリプトを律する
はじめに Legalscapeの顧客の中には、情報セキュリティー等の理由から社内ネットワークからの通信の宛先を制限している組織もたくさんいます。そのためLegalscapeでは、プロダクトの動作に必要な第三者リソースの一覧を管理し、Legalscapeの導入時にはそれらのドメイン名への接続を許可するようにお願いしてきました。しかし、現代のWeb開発は、第三者リソースが利用可能であることを暗に期待しがちです。開発者がLegalscapeの顧客背景をよく知らずに新しい依存を導入してしまうことも考えられます。またさらに厄介なのが間接依存の増加です。実際に、firebase packageの更新によって内部で呼び出しているAPIのエンドポイントが変化し、開発者が知らないうちに接続先が変わっていたということが判明しています。[1] そこで私は、CSPを使うことでサードパーティースクリプトやAPI
efcl 2024/03/02
CSPの運用

JavaScript

CSP

secu

article
リンク
Bootstrap 5.3.1
efcl 2023/08/02
Bootstrap 5.3.1リリース。ダークモードのカラーコントラストの改善、`.disabled`などで無効時のスタイルを追加など

CSP

library

ReleaseNote
リンク
Goodbye CSS Modules, Hello TailwindCSS
Our frontend codebase is a single-page application powered by Create React App (CRA), written in TypeScript, and using GraphQL for the API. The existing styling approach used CSS Modules without a design system. CSS Modules are CSS files in which all class and animation names are scoped locally by default. They get compiled as part of the build step—with bundler techno logy like Webpack—and are nat
efcl 2021/11/06
Tailwindを使ったデザインシステムに使った理由について

Design

CSP
リンク
Chrome Platform Status
efcl 2021/10/22
Chrome 96で`wasm-unsafe-eval`がサポートされる。

Chrome

CSP

security
リンク
Web Mitigation Metrics
§ Content Security Policy We believe that a carefully-crafted Content Security Policy can help protect web applications from injection attacks that would otherwise lead to script execution. Strict CSP is a reasonable approach, one which we'd like to encourage. The data below is gathered from Chrome's usage statistics, and represents the percentage of Chrome page loads that use CSP at all, that def
efcl 2021/10/06
Chromeの利用統計を元にしたCSP、Trusted Type、COOP/COEP、Subresource Integrity の利用率

CSP

browser
リンク
Security headers quick reference | Articles | web.dev
Before diving into security headers, learn about known threats on the web and why you'd want to use these security headers. Protect your site from injection vulnerabilities Injection vulnerabilities arise when untrusted data processed by your application can affect its behavior and, commonly, lead to the execution of attacker-controlled scripts. The most common vulnerability caused by injection bu
efcl 2021/07/31
セキュリティ系のHTTPヘッダまとめ

security

browser

CSP
リンク
GitHub - yobukodori/csp-for-me: Append directive or directive-value to the existing CSP(content-security-policy) header in HTTP response
efcl 2021/04/29
CSPを操作する拡張

Firefox

CSP

Extension
リンク
GitHub - antosart/policy-container-explained: Policy container explained
efcl 2021/03/22
ウェブのセキュリティモデルに新しく増えたPolicy Container。 Workerは親DocumentのPolicyではなく、Worker Script自体のレスポンスヘッダを元にしたPolicyを採用するため、その概念をモデル化した。Policy ContainerにはCSPやCOOPなどが含ま

security

web

spec

CSP
リンク
Mitigate cross-site scripting (XSS) with a strict Content Security Policy (CSP) | Articles | web.dev
Cross-site scripting (XSS), the ability to inject malicious scripts into a web app, has been one of the biggest web security vulnerabilities for over a decade. Content Security Policy (CSP) is an added layer of security that helps to mitigate XSS. To configure a CSP, add the Content-Security-Policy HTTP header to a web page and set values that control what resources the user agent can load for tha
efcl 2021/03/17
ドメインの許可リストのCSPよりも、strict設定のCSPを推奨するという話。 nonceとstrict-dynamicベースのCSP設定で防げるXSS、nonceベースとhashベースのCSPの設定、CSPの導入手順について

CSP

article

security
リンク
How To Secure Node.js Applications with a Content Security Policy | DigitalOcean
The author selected the Free Software Foundation to receive a donation as part of the Write for DOnations program. Introduction When the browser loads a page, it executes a lot of code to render the content. The code could be from the same origin as the root document, or a different origin. By default, the browser does not distinguish between the two and executes any code requested by a page regar
efcl 2020/11/30
Node.jsアプリでのCSP実装についてのチュートリアル記事。 CSPの設定方法、フォントや画像などの埋め込み許可の例、Nonceの設定、CSP Reporting APIとレポートの受け取り方法についてなど

node.js

CSP

article
リンク
GitHub - jagaapple/next-secure-headers: Sets secure response headers for Next.js.
You signed in with another tab or window. Reload to refresh your session. You signed out in another tab or window. Reload to refresh your session. You switched accounts on another tab or window. Reload to refresh your session. Dismiss alert
efcl 2020/11/05
Next.jsのCSPヘッダを設定するmiddleware

Next.js

CSP
リンク
ブラウザで何が起こっているのかを知る Reporting API と ReportingObserver | blog.jxck.io
Intro Web サービスにおいては通常、Web サーバから取得できるアクセスログやエラーログを取得し解析する基盤を保有するだろう。しかし、Web サーバから取得できる情報だけでは、ブラウザで何が起こったのかを知るのは限界がある。今回は、ブラウザ内で起こったことを知るための Reporting API と、その Report の収集について解説する。 Notice 本記事の大半は 1 年以上前に書いたものだが、そのころは仕様も実装もまだまだ落ち着きが無かった。仕様 report-uri から report-to への移行期 JFV の採用への不安実装ディレクティブの実装がバラバラ ReportingObserver では取れるが default group に自動では飛ばない(未実装) ReportingObserver で取った report が JSON Serialize
efcl 2020/01/21
ブラウザで起きたエラーレポートなどを送信、監視するReporting APIとReportingObserverについて

CSP

browser

WebPlatformAPI

article
リンク
GitHub - WICG/csp-next: A Modest Content Security Proposal
Mike West, July 2019 TL;DR: Let's break CSP in half and throw away some options while we're at it. Content Security Policy is a thing. We've been iterating on it for years and years now, and it shows. The backwards compatibility constraints are increasingly contorted, we've moved right past scope creep into scope kudzu, and the implementation status between browsers is inconsistent at best. I thin
efcl 2019/07/27
次期CSPの考えとXSS Mitigationの要点

CSP

spec

proposal
リンク
Introduction - Content Security Policy
This documentation is outdated and available for historical reasons only. To learn how to enable strict Content Security Policy in your application, visit web.dev/strict-csp. Content Security Policy is a mechanism designed to make applications more secure against common web vulnerabilities, particularly cross-site scripting. It is enabled by setting the Content-Security-Policy HTTP response header
efcl 2019/07/23
CSP(Content Security Policy)についての解説サイト。 CSPとはどのようにXSSを防ぐのか、使う理由/使わない理由、CSPの設定、FAQなどが書かれている

CSP

security

browser

XSS
リンク
How Content Security Policy prevent header exploit - Blog Detectify
efcl 2019/07/16
CSPのディレクティブの解説と対応するコードの変更方法について。またJSONPやCDNを使った典型的なバイパスについて

CSP

security

browser
リンク
Bypassing CSP with policy injection
Published: 05 June 2019 at 13:10 UTC Updated: 04 September 2020 at 14:31 UTC Whilst testing PayPal looking for ways to bypass CSP and mixed content protection I found an interesting behaviour. PayPal was putting a GET parameter called token inside the report-uri directive of their CSP. I found that by changing the token parameter it was possible to inject directives into the policy. Most browsers
efcl 2019/06/05
EdgeはCSP Policyの一部が不正だとすべて破棄する挙動になってる。そのため`report-uri`のURLのパラメータが任意のものにできるなら、CSP Policyを無効化できるバグ

CSP
リンク
pixiv SPRING BOOTCAMP 2019のセキュリティコースに参加して最高の体験をしてきた - yyy
はじめに参加するまで業務開始まで 2/27～3/1 CSPの導入① バグバウンティ関連① エンジニア勉強会 3/4～3/6 CSPの導入② バグバウンティ関連② pixiv Bug Fix pixiv TECH SALON 3/7～3/8 CSPの導入③ バグバウンティ関連③ 成果発表その他の思い出懇親会でルービックキューブについて話したバイナリかるた貰ったお絵かきブートキャンプ円盤鑑賞会的なやつご飯情報最後にはじめに念願のpixivインターンに行ってきました． pixivは高校生の時ぐらいから知っていて，実際に絵を投稿したのは大学に入ってからですが，お絵描きを趣味とする自分にとってはとても身近な存在でした．インターンシップに参加している学生の様子をSNSで見ているととても楽しそうで，いつか自分も参加してみたいと思うようになりました．また，バグバウンティを行っている
efcl 2019/04/21
pixivでのCSP導入のステップ。 report先にreport-uri.comとsentryの併用

CSP

security

browser
リンク
Content Security Policy - 俺のリファレンス
Gowest1 Play thousands of free online games: arcade games, puzzle games, funny games, sports games, shooting games, and more, all without downloading any additional software on Gowest1!
efcl 2019/04/21
CSPの構文やディレクティブのチートシート的な感じ。

CSP

browser

security
リンク
Content Security Policy: A successful mess between hardening and mitigation
In this talk, we distill our multi-year experience fighting XSS at Google with nonce-based Content Security Policy, one of the most misunderstood and ar…
efcl 2019/04/21
GoogleにおけるCSPについてのスライド。Google domainのCSPのカバレッジや60%以上のXSSはCSPでブロックできている。 CSP導入の4つのLevelと導入ステップ、ホワイリストの問題とnonce-based CSP、CSPとデプロイのトレードオフについてなど

CSP

browser

security

slide
リンク
1 2 3 4 5 次のページ