&quot;Content Security Policy&quot; — Алексей Андросов, MoscowJS 18

ASK EHS Engineering & Consultants

Слайды доклада Алексея "Content Security Policy"

Software

Content-Security-Policy: <политика>
Content-Security-Policy-Report-Only: <политика>
[протокол://]домен[:порт]

Content-Security-Policy :
default-src 'none';
frame-src awaps.yandex.ru;
img-src 'self' yastatic.net *.yandex.net;
script-src 'unsafe-eval' 'unsafe-inline' yastatic.net;
style-src 'unsafe-inline' yastatic.net;
report-uri /csp-report?from=mail
01.
02.
03.
04.
05.
06.
07.

<script src="//evil.com/give-me-your-money.js"></script>
Content-Security-Policy:
default-src 'none';
img-src 'self' yastatic.net *.yandex.net;
script-src 'unsafe-eval' 'unsafe-inline' yastatic.net;
style-src 'unsafe-inline' yastatic.net;
report-uri /csp-report?from=mail
01.
02.
03.
04.
05.
06.

img-src 'self' yastatic.net *.yandex.net

connect-src
font-src
frame-src
img-src
media-src
object-src
script-srс
style-src

'self'
'none'
'unsafe-inline' script-src style-src
'unsafe-eval' script-src style-src

<script>
alert('Look at me!')
</script>
<a onclick="alert('Look at me!')" >link</a>
01.
02.
03.
04.

<style>
.body {color: #000}
</style>
01.
02.
03.

eval new Function()
setTimeout('var a = 1', 10)

{
"csp-report": {
"document-uri": "https://mail.yandex.ru/neo2/",
"referrer": "http://www.yandex.ru/",
"violated-directive": "script-src ...",
"original-policy": "...вся политика...",
"blocked-uri": "...заблокированный ресурс..."
}
}
01.
02.
03.
04.
05.
06.
07.
08.
09.

form-action
frame-ancestors plugin-types
nonce- hash-
<meta>
unsafe-eval style-src

Content-Security-Policy:
default-src 'self';
script-src 'unsafe-inline' 'nonce-ccc5b86a' yastatic.net
<!-- Заблокирован , отсутствует атрибут nonce -->
<script>
alert("Мені не подобається Київ")
</script>
01.
02.
03.
04.
05.
06.
07.
08.

Content-Security-Policy:
default-src 'self';
script-src 'nonce-ccc5b86a' yastatic.net
<!-- Заблокирован , атрибут nonce не совпадает -->
<script nonce="42" >
alert("Мені не подобається Київ")
</script>
01.
02.
03.
04.
05.
06.
07.
08.

Content-Security-Policy:
default-src 'self';
script-src 'nonce-ccc5b86a' yastatic.net
<!-- Выполнен , атрибут nonce валиден -->
<script nonce="ccc5b86a" >
alert("Мені подобається Київ")
</script>
01.
02.
03.
04.
05.
06.
07.
08.

Content-Security-Policy:
default-src 'self';
script-src 'nonce-ccc5b86a' yastatic.net
<!-- Выполнен , src валиден -->
<script src=" //yastatic.net/page.js "></script>
01.
02.
03.
04.
05.
06.

Content-Security-Policy:
default-src 'self';
script-src 'nonce-ccc5b86a' yastatic.net
<!-- Выполнен , nonce валиден -->
<script nonce="ccc5b86a" src=" //yandex.net/page.js "></script>
01.
02.
03.
04.
05.
06.

default-src 'none'

default-src

Content-Security-Policy
Content-Security-Policy-Report-Only

X-Content-Security-Policy
*

style-src 'unsafe-eval'

report-uri
Content-Security-Policy-Report-Only

$location / { add_header Content-Security-Policy-Report-Only "...." } 01. 02. 03.$

response.setHeader(
"Content-Security-Policy-Report-Only",
"..."
);
01.
02.
03.
04.

Content-Security-Policy-Report-Only
Content-Security-Policy

"Content Security Policy" — Алексей Андросов, MoscowJS 18

Content Security Policy 1.0 is a W3C recommendation for improving web security. It allows website owners to control resources loaded by the browser to help prevent cross-site scripting and other attacks. The policy uses HTTP headers to define whitelists of approved sources of scripts, stylesheets, fonts, frames, and other content. Reporting of policy violations can also help site owners identify vulnerabilities. While CSP adds a layer of protection, it has some limitations and browser support varies.

Content Security Policy

Austin Gil

Content security policy

Ronan Dunne, CEH, SSCP

Content Security Policy (CSP) is a security policy that helps mitigate cross-site scripting attacks by whitelisting approved sources of executable content on a web page. An extra HTTP header instructs browsers to enforce the policy by blocking or warning about resources loaded from disallowed origins. CSP adoption involves deciding which policy directives to apply and configuring web servers to send the CSP HTTP header with resources.

Visitor induction & gatepass system

Though it is not possible to avoid every untoward incident, preparedness and continual training remains the path towards a secured and safe working environment. Our Health and Safety Inductions Employee Kiosk system, tracks who and when the employee has taken the inductions, whether they have passed or failed employee induction and alerts Provided with the full statistic reporting functionality, our safety Employee Induction kiosks can be modified to work the way you require them to work. Have a look below for a bespoke employee induction video that functions with Kiosk. #safety #healthandsafety #work #induction #employee #animation #3danimation #safetyanimation

Misure di prevenzione e protezione in materia di salute e sicurezza sul lavoro

Safer - Formazione e Consulenza

powerpointnr35-130228104940-phpapp01.pptx

Bruno Borges

2014.12.06 05 Антон Плешивцев — Разбираем естественные языки на Lisp'е

HappyDev

Назад в будущее! …и другие мысли о подготовке программистов в ВУЗах

Dennis Schetinin

Как бы вы охарактеризовали сегодняшнюю ситуацию в сфере разработки программного обеспечения? Автор считает, что ее без особой натяжки можно назвать стагнацией, и предлагает поразмышлять над одной из возможных причин: подготовкой программистов в ВУЗах…

Писать веб-приложение — то еще занятие: медленно, сложно. Особенно трудно, если вы взялись за большой интерфейс. В докладе мы ответим на следующие вопросы: — Что такое функциональное программирование? — Как функциональный подход помогает делать веб-приложения? — Что в ФП хорошо ложится на специфику интерфейсостроения? — Как может выглядеть архитектура современного фронтенд приложения, использующего ФП? — Какие есть истории успеха и живые примеры? На примерах из ClojureScript, JavaScript, Elm и React.js.

JavaScript завтра / Сергей Рубанов (Exante Limited)

Ontico

За последние несколько лет в мире js-разработки особое внимание получили такие проекты как AtScript, TypeScript, SoundScript, Flow, Traceur, Babel, каждый из которых пытается предоставить разработчикам некую "улучшенную" версию JavaScript. Комитет TC39 также стал очень активен и разработал стратегию развития стандарта ECMAScript с более частыми релизами. Движки JavaScript стремительно приближаются к полной поддержке ES6. Огромное количество JS-фреймворков и библиотек выбирают следующую версию стандарта уже сегодня. Это означает, что необходимо уже сегодня обратить внимание на происходящее в мире JavaScript-разработки и разобраться, что ждет язык завтра. В своем докладе я постараюсь дать ответы на следующие вопросы: - почему такие фреймворки и библиотеки как Angular, Ember, React начали активно и кардинально меняться; - почему новая версия стандарта языка ES6 так долго внедряется вендорами браузеров и как TC39 решил ускорить процесс стандартизации и внедрения последующих версий ECMAScript; - почему CoffeeScript больше не "just JavaScript", и действительно ли он сделал такой значимый вклад в следующую версию JavaScript; - почему были созданы AtScript, TypeScript, Flow, чем каждый из них отличается от остальных, и как они влияют на дальнейшее развитие JavaScript; - что такое Strong Mode и SoundScript; - как начать писать ES6+ код уже сегодня.

Алексей Романчук «Реактивное программирование»

DevDay

Старые подходы к построению программных систем не так актуальны для создания современных решений. В дополнение к масштабируемости добавляются требования отзывчивости, отказоустойчивости и событийности. Пытаться работать на родном старом или посмотреть в сторону новых технологий? В своем выступлении я расскажу про концепцию reactive programming. Какие технологии реализуют концепцию и как сделать первые шаги в этом новом прекрасном мире.

JavaFX GUI architecture with Clojure core.async

Falko Riemenschneider

FlatGUI: Reactive GUI Toolkit Implemented in Clojure

denyslebediev

Usabilitylab

Начиная с 2006 года мы провели более 400 проектов, связанных с исследованием пользователей, юзабилити-тестированием, информационной архитектурой, проектированием экранов и другими способами улучшения интерфейсов программных продуктов. Мы занимаем более 50% рынка в сфере юзабилити-услуг в России.

как интернет делает Minority report настоящимЮрий Лукашевич

Site banking ut_method_11.11_kk_

Conversion_conf'2015Kirill Kochkin

Ежегодный отчет Cisco по информационной безопасности 2015

Presentation wonder full_30

Vera Kovaleva

Мобильный банкинг в России: особенности спроса и предложения

Alexey Skobelev

Презентация с выступления на форуме FinMobility-2013. Результаты исследований e-Finance User Index 2014 (репрезентативный опрос интернет-пользователей в отношении электронных финансовых и платежных продуктов) и Mobile Banking Rank 2013 (исследование и рейтинг эффективности российских мобильных банков).

Методология Mobilebanking 2015

Ericsson Mobility Report: Основные выводы

Ericsson Russia

К2022 году к сетям 5G будет подключено более полумиллиарда устройств По уровню проникновения технологий 5G будет лидировать Северная Америка – в этом регионе будет зафиксировано 25% всех подключений к сетям пятого поколения; К 2022 году на сети мобильного широкополосного доступа (МШПД) будет приходиться 90% подключений к интернету; Всего будет подключено 29 млрд устройств, 18 млрд из которых будут относится к интернету вещей (IoT).

Бизнес планирование Akhmadi invest для i startup.kz

Iskander Akhmetov

Ericsson mobility report. Презентация для УкраиныEricsson Russia

Кибербезопасность с точки зрения директоров

В современной экономике работа каждой компании зависит от ИТ-отдела. Поэтому информационная безопасность становится делом каждого члена организации, от директора до только что нанятого специалиста, а не только сотрудников, должность и список обязанностей которых содержит слово «безопасность». Каждый сотрудник должен нести ответственность за информационную безопасность и изучить основные правила ее соблюдения.

Александр Русаков - TypeScript 2 in action

Виктор Розаев - Как не сломать обратную совместимость в Public API

Представьте что у вас есть публичный JavaScript API. Им пользуются сторонние девелоперы от Индии до Канады, чтобы писать свои облачные сервисы. Эти сервисы продают телекомуникационные компании с многомиллиардными оборотами превышающими стоимость вашей компании. Любая остановка сервиса - миллионные убытки. Представили? А нам и представлять не надо - это наша работа. Добро пожаловать в нашу реальность. В рамках доклада мы расскажем о том, как сохранить обратную совместимость при активном развитии и неизвестных пользователях, ну и причем тут вообще интерны.

Viewers also liked

Построение мультисервисного стартапа в реалиях full-stack javascript

FDConf

CodeFest 2013. Прокопов Н. — Зачем вам нужна Clojure?CodeFest

Трансдюсеры, CSP каналы, неизменяемые структуры данных в JavaScript

Max Klymyshyn

Функциональное программирование в браузере / Никита Прокопов

Ontico

JavaScript завтра / Сергей Рубанов (Exante Limited)

Ontico

Алексей Романчук «Реактивное программирование»

DevDay

JavaFX GUI architecture with Clojure core.async

Falko Riemenschneider

FlatGUI: Reactive GUI Toolkit Implemented in Clojure

denyslebediev

Usabilitylab

как интернет делает Minority report настоящимЮрий Лукашевич

Site banking ut_method_11.11_kk_

Conversion_conf'2015Kirill Kochkin

Ежегодный отчет Cisco по информационной безопасности 2015

Presentation wonder full_30

Vera Kovaleva

Мобильный банкинг в России: особенности спроса и предложения

Alexey Skobelev

Методология Mobilebanking 2015

Ericsson Mobility Report: Основные выводы

Ericsson Russia

Бизнес планирование Akhmadi invest для i startup.kz

Iskander Akhmetov

Ericsson mobility report. Презентация для УкраиныEricsson Russia

Кибербезопасность с точки зрения директоров

Viewers also liked (20)

Построение мультисервисного стартапа в реалиях full-stack javascript

CodeFest 2013. Прокопов Н. — Зачем вам нужна Clojure?

Трансдюсеры, CSP каналы, неизменяемые структуры данных в JavaScript

Функциональное программирование в браузере / Никита Прокопов

JavaScript завтра / Сергей Рубанов (Exante Limited)

Алексей Романчук «Реактивное программирование»

JavaFX GUI architecture with Clojure core.async

FlatGUI: Reactive GUI Toolkit Implemented in Clojure

Usabilitylab

как интернет делает Minority report настоящим

Site banking ut_method_11.11_kk_

Conversion_conf'2015

Ежегодный отчет Cisco по информационной безопасности 2015

Presentation wonder full_30

Мобильный банкинг в России: особенности спроса и предложения

Методология Mobilebanking 2015

Ericsson Mobility Report: Основные выводы

Бизнес планирование Akhmadi invest для i startup.kz

Ericsson mobility report. Презентация для Украины

Кибербезопасность с точки зрения директоров

More from MoscowJS

Александр Русаков - TypeScript 2 in action

Виктор Розаев - Как не сломать обратную совместимость в Public API

Favicon на стероидах

E2E-тестирование мобильных приложений

Reliable DOM testing with browser-monkey

Basis.js - Production Ready SPA Framework

Контекст в React, Николай Надоричев, MoscowJS 31

Контекст стал документированной фичей сравнительно недавно, но его использование либо осуждается, либо не понимается. Такие библиотеки как react-redux или react-router успешно используют для своих нужд. В докладе рассмотрим основные аспекты работы с контекстом: зачем он нужен и какие проблемы решает.

Верстка Canvas, Алексей Охрименко, MoscowJS 31

Веб без интернет соединения, Михаил Дунаев, MoscowJS 31

Angular2 Change Detection, Тимофей Яценко, MoscowJS 31

Команда разработчиков Angular2 провела огромную работу над Change Detector, он стал быстрым и "умным". В докладе рассмотрим две основные фазы Angular2 приложения, куда все таки делся $apply(), и почему Angular2 обещает быть фантастически быстрым (в сравнении с AngularJs).

Создание WYSIWIG-редакторов для веба, Егор Яковишен, Setka, MoscowJs 33

В 2016 году интернет-изданиям недостаточно просто писать интересные материалы, нужно быстро и качественно их оформлять и показывать на разных устройствах. Я расскажу о нашем опыте создания JS-редактора, с помощью которого ежедневно публикуются десятки постов для 3 миллионов читателей.

Предсказуемый Viewport, Вопиловский Константин, KamaGames Studio, MoscowJs 33

Promise me an Image... Антон Корзунов, Яндекс, MoscowJs 33

Регрессионное тестирование на lenta.ru, Кондратенко Павел, Rambler&Co, Moscow...

"Опыт разработки универсальной библиотеки визуальных компонентов в HeadHunter...

При увеличении количества проектов в компании, разработчики сталкиваются с задачей унификации кодовой базы. Решением подобной задачи может быть библиотека, фреймворк или общий набор компонент. Такой инструмент позволит разработчикам сконцентрироваться только на новых задачах, избежать дублирования кода и повысить производительность. В HeadHunter с такой задачей столкнулись в 2014 году. Решением данной проблемы стало создание унифицированной библиотеки компонент, которая успешно используется на всех проектах HH. В своем докладе я хотел бы поделиться опытом развития библиотеки, проблемами, которые возникали при разработке, и их последовательным решением.

"Во все тяжкие с responsive images", Павел Померанцев, MoscowJS 29

"AMP - технология на три буквы", Макс Фролов, MoscowJS 29

Для большинства пользователей мобильный интернет полон боли и страданий. При том что пользователей становится только больше — проблема не решается, а становится острее. Вас ожидает увлекательнейший доклад о том, как удалось разогнать до космической скорости мобильную Lenta.ru.

"Observable и Computed на пример KnockoutJS", Ольга Кобец, MoscowJS 29

«Пиринговый веб на JavaScript», Денис Глазков, MoscowJS 28

"Доклад не про React", Антон Виноградов, MoscowJS 27