Loading [MathJax]/jax/output/CommonHTML/config.js
首页
学习
活动
专区
圈层
工具
发布
首页
学习
活动
专区
圈层
工具
MCP广场
社区首页 >专栏 >Sentry 监控 - Security Policy 安全策略报告

Sentry 监控 - Security Policy 安全策略报告

作者头像
为少
发布于 2021-10-12 07:36:14
发布于 2021-10-12 07:36:14
94400
代码可运行
举报
文章被收录于专栏:黑客下午茶黑客下午茶
运行总次数:0
代码可运行

系列

目录

  • Content-Security-Policy
  • Expect-CT
  • HTTP Public Key Pinning
  • 附加配置
  • Sentry 21.8.0 开源版生产截图

Sentry 能够通过设置适当的 HTTP header 来收集有关 Content-Security-Policy (CSP) 违规行为以及 Expect-CTHTTP Public Key Pinning (HPKP) 失败(failures)的信息,这会让违规/失败(violation/failure)发送到 report-uri 中指定的 Sentry 端点。

  • Content-Security-Policy (CSP):https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Content-Security-Policy
  • Expect-CT:https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Expect-CT
  • HTTP Public Key Pinning (HPKP) :https://developer.mozilla.org/en-US/docs/Web/HTTP/Public_Key_Pinning

Content-Security-Policy

Content-Security-Policy (CSP) 是一种安全标准,有助于防止跨站点脚本 (XSS)点击劫持(clickjacking)和其他由于在受信任的网页上下文中执行恶意内容而导致的代码注入攻击。它由浏览器厂商强制执行,Sentry 支持使用标准报告 Hook 捕获 CSP 违规。

要在 Sentry 中配置 CSP 报告,您需要从服务器发送一个 header 来描述您的策略,并指定经过身份验证Sentry 端点:

代码语言:javascript
代码运行次数:0
运行
AI代码解释
复制
Content-Security-Policy: ...; report-uri https://o0.ingest.sentry.io/api/0/security/?sentry_key=examplePublicKey

或者,您可以设置 CSP 报告以简单地发送报告而不是实际执行策略:

代码语言:javascript
代码运行次数:0
运行
AI代码解释
复制
Content-Security-Policy-Report-Only: ...; report-uri https://o0.ingest.sentry.io/api/0/security/?sentry_key=examplePublicKey

在定义您的策略时,确保 sentry.io 或您的自托管 sentry 域 在您的 default-srcconnect-src 策略中很重要,否则浏览器将阻止提交违反策略的请求。

有关更多信息,请参阅 MDN 上的文章。

  • https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Content-Security-Policy

Expect-CT

Certificate Transparency (CT) 是一种安全标准,可帮助跟踪和识别有效证书,允许识别恶意颁发的证书。

要在 Sentry 中配置报告,您需要从服务器配置 Expect-CT header:

代码语言:javascript
代码运行次数:0
运行
AI代码解释
复制
Expect-CT: ..., report-uri="https://o0.ingest.sentry.io/api/0/security/?sentry_key=examplePublicKey"

有关更多信息,请参阅 MDN 上的文章。

  • https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Expect-CT

HTTP Public Key Pinning

HTTP Public Key Pinning (HPKP) 是一种安全功能,它告诉 Web 客户端将特定的加密公钥(public key)与某个 Web 服务器相关联,以降低使用伪造证书进行 MITM 攻击的风险。它由浏览器厂商强制执行,Sentry 支持使用标准报告 Hook 捕获违规行为。

要在 Sentry 中配置 HPKP 报告,您需要从服务器发送一个 header 来描述您的策略,并指定经过身份验证的 Sentry 端点:

代码语言:javascript
代码运行次数:0
运行
AI代码解释
复制
Public-Key-Pins: ...; report-uri="https://o0.ingest.sentry.io/api/0/security/?sentry_key=examplePublicKey"

有关更多信息,请参阅 MDN 上的文章。

  • https://developer.mozilla.org/en-US/docs/Web/HTTP/Public_Key_Pinning

附加配置

除了 sentry_key 参数,您还可以在 report URI 的查询字符串中传递以下内容:

sentry_environment

  • 环境名称(例如 production)。

sentry_release

  • 应用程序的版本。

Sentry 21.8.0 开源版生产截图

本文参与 腾讯云自媒体同步曝光计划,分享自微信公众号。
原始发表:2021-09-22,如有侵权请联系 cloudcommunity@tencent.com 删除

本文分享自 黑客下午茶 微信公众号,前往查看

如有侵权,请联系 cloudcommunity@tencent.com 删除。

本文参与 腾讯云自媒体同步曝光计划  ,欢迎热爱写作的你一起参与!

评论
登录后参与评论
暂无评论
推荐阅读
编辑精选文章
换一批
内容安全策略( CSP )
内容安全策略 (CSP) 是一个额外的安全层,用于检测并削弱某些特定类型的攻击,包括跨站脚本 (XSS) 和数据注入攻击等。无论是数据盗取、网站内容污染还是散发恶意软件,这些攻击都是主要的手段。
黑伞安全
2020/08/10
3.5K0
内容安全策略( CSP )
前端安全配置xss预防针Content-Security-Policy(csp)配置详解
CSP全称Content Security Policy ,可以直接翻译为内容安全策略,说白了,就是为了页面内容安全而制定的一系列防护策略. 通过CSP所约束的的规责指定可信的内容来源(这里的内容可以指脚本、图片、iframe、fton、style等等可能的远程的资源)。通过CSP协定,让WEB处于一个安全的运行环境中。
周陆军博客
2023/05/07
10.6K0
Spring Security 之防漏洞攻击
了解CSRF攻击的最好方式是通过一个具体的例子。 假设您的银行网站提供了一个转账页面,允许从当前的登录用户向另一个账户转账,转账单可能如下: Example 1. 转账表单
阿提说说
2022/11/18
2.7K0
CSP(Content Security Policy 内容安全策略)
正式加入生产环境前可以先仅收集一段时间的不匹配规则日志,观察一段时间没有问题再上生产环境。或者仅仅作为监控异常行为来使用也可以!
零式的天空
2022/03/16
2.4K0
Spring Security配置内容安全策略
在IDEA里集成阿里的https://start.aliyun.com,创建一个Spring Initializr项目:
SmileNicky
2022/05/13
1.8K0
Spring Security配置内容安全策略
CSP | Electron 安全
大家好,今天和大家讨论的是 CSP ,即内容安全策略。相信很多朋友在渗透测试的过程中已经了解过 CSP 了
意大利的猫
2024/04/28
8140
CSP | Electron 安全
跟我一起探索HTTP-内容安全策略(CSP)
内容安全策略(CSP)是一个额外的安全层,用于检测并削弱某些特定类型的Attack,包括跨站脚本(XSS)和数据注入Attack等。无论是数据盗取、网站内容污染还是恶意软件分发,这些Attack都是主要的手段。
用户1418987
2023/10/16
6210
跟我一起探索HTTP-内容安全策略(CSP)
Content Security Policy 入门教程
跨域脚本攻击 XSS 是最常见、危害最大的网页安全漏洞。 为了防止它们,要采取很多编程措施,非常麻烦。很多人提出,能不能根本上解决问题,浏览器自动禁止外部注入恶意脚本? 这就是"网页安全政策"(Con
ruanyf
2018/04/13
2.1K1
Content Security Policy 入门教程
Firefox内容安全策略中的“Strict-Dynamic”限制
在本文中,我们将重点分析如何绕过Firefox内容安全策略中的“Strict-Dynamic”限制。该漏洞详情请参考: https://www.mozilla.org/en-US/security/advisories/mfsa2018-11/#CVE-2018-5175 。该漏洞将绕过内容安全策略(CSP)的保护机制,而在该机制中包含一个“严格动态限制”的Script-src策略。如果目标网站中存在HTTP注入漏洞,攻击者可以将一个引用注入到require.js库的一个副本中,这个库位于Firefox开发人员工具之中,攻击者随后便可以使用已知技术,利用该库绕过CSP限制,从而执行注入脚本。
西门呀在吹雪
2022/09/05
2.3K0
Firefox内容安全策略中的“Strict-Dynamic”限制
WEB攻击与安全策略
恶意代码未经过滤,与网站正常的代码混在一起,浏览器无法分辨哪些脚本是可信的,导致恶意脚本被执行。
且陶陶
2023/04/12
1K0
WEB攻击与安全策略
Sentry 产品指南文档(内附 17 张详细脑图)
欢迎来到 Sentry Basics,这是我们使用 sentry.io 中提供的工具帮助您快速解决问题的入门读物。
为少
2022/01/25
1.9K0
Sentry 产品指南文档(内附 17 张详细脑图)
更快更安全,HTTPS 优化总结
在网站升级到 HTTPS 之后,我们还可以有很多玩意可以折腾,优化 HTTPS,让它更快更安全。这里是一篇 HTTPS 优化的总结,也包含问题的解决方法,不过不仅仅包括 HTTPS 的优化,也包含 HTTP 一些安全相关的配置。 因为平时用 Nginx 比较多,本文涉及到 Web Server 的大多数例子都会以 Nginx 为例。如果有错误欢迎指出。HTTPS 发展很快,尤其是在谷歌的推动之下,如果有过时的地方,也请指出。 HSTS HSTS(HTTP Strict Transport Security)
前端教程
2018/03/05
3.2K0
防XSS的利器,什么是内容安全策略(CSP)?
内容安全策略(CSP),是一种安全策略,其原理是当浏览器请求某一个网站时,告诉该浏览器申明文件可以执行,什么不可以执行。CSP是专门解决XSS攻击而生的神器。 CSP的引入会使得我们的引入扩展程序更加安全,并且可以由开发者指定可以加载扩展程序的类型,避免恶意的脚本在浏览器中执行,造成信息泄露问题。
房东的狗丶
2023/02/17
2.3K0
Bypass unsafe-inline mode CSP
[+] Author: evi1m0 [+] Team: n0tr00t security team [+] From: http://www.n0tr00t.com [+] Create: 2016-10-27 0x01 CSP 介绍 CSP[0] 是由单词 Content Security Policy 的首单词组成,CSP旨在减少 (注意这里是减少而不是消灭) 跨站脚本攻击。CSP是一种由开发者定义的安全性政策性申明,通过 CSP 所约束的的规责指定可信的内容来源(这里的内容可以指脚本、图片、
Seebug漏洞平台
2018/03/29
1.5K0
Bypass unsafe-inline mode CSP
深入理解内容安全策略(CSP):保障网页安全的利器
在当今的网络环境中,安全问题始终是重中之重。内容安全策略(CSP)作为一个额外的安全层,为我们抵御多种网络攻击提供了有效的手段。
泯泷、
2025/01/27
5450
深入理解内容安全策略(CSP):保障网页安全的利器
Content-Security-Policy中的media-src
在进行安全扫描的时候,或者设置安全策略的时候,我们可能会在浏览器的控制台中看到以下的输出内容:
问问计算机
2021/05/08
3.2K0
Content-Security-Policy中的media-src
使用浏览器的 Reporting API 上报站点错误
Reporting API 定义了一个新的 HTTP Header,Report-To,它让 Web 开发人员以自定义的方式来将浏览器的警告和错误发送到指定服务器。例如 CSP违规, Feature Policy 违规,使用了废弃API,浏览器崩溃和网络错误等是可以使用 Reporting API 收集的一些信息。
ConardLi
2020/11/26
2.7K0
为什么你的网页需要 CSP?
内容安全策略(CSP)是一个 HTTP Header,CSP 通过告诉浏览器一系列规则,严格规定页面中哪些资源允许有哪些来源, 不在指定范围内的统统拒绝。
ConardLi
2020/05/07
3.5K1
有哪些新的HTTP响应头用于防爬?
西里网
2025/07/10
400
HTTPS 优化总结
在网站升级到 HTTPS 之后,我们还可以有很多玩意可以折腾,优化 HTTPS,让它更快更安全。这里是一篇 HTTPS 优化的总结,也包含问题的解决方法,不过不仅仅包括 HTTPS 的优化,也包含 HTTP 一些安全相关的配置。
OwenZhang
2021/12/08
8560
相关推荐
内容安全策略( CSP )
更多 >
领券
问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档
本文部分代码块支持一键运行,欢迎体验
本文部分代码块支持一键运行,欢迎体验