首页
学习
活动
专区
圈层
工具
发布
首页
学习
活动
专区
圈层
工具
MCP广场
社区首页 >专栏 >Sentry 监控 - Security Policy 安全策略报告

Sentry 监控 - Security Policy 安全策略报告

作者头像
为少
发布于 2021-10-12 07:36:14
发布于 2021-10-12 07:36:14
94440
代码可运行
举报
文章被收录于专栏:黑客下午茶黑客下午茶
运行总次数:0
代码可运行

系列

目录

  • Content-Security-Policy
  • Expect-CT
  • HTTP Public Key Pinning
  • 附加配置
  • Sentry 21.8.0 开源版生产截图

Sentry 能够通过设置适当的 HTTP header 来收集有关 Content-Security-Policy (CSP) 违规行为以及 Expect-CTHTTP Public Key Pinning (HPKP) 失败(failures)的信息,这会让违规/失败(violation/failure)发送到 report-uri 中指定的 Sentry 端点。

  • Content-Security-Policy (CSP):https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Content-Security-Policy
  • Expect-CT:https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Expect-CT
  • HTTP Public Key Pinning (HPKP) :https://developer.mozilla.org/en-US/docs/Web/HTTP/Public_Key_Pinning

Content-Security-Policy

Content-Security-Policy (CSP) 是一种安全标准,有助于防止跨站点脚本 (XSS)点击劫持(clickjacking)和其他由于在受信任的网页上下文中执行恶意内容而导致的代码注入攻击。它由浏览器厂商强制执行,Sentry 支持使用标准报告 Hook 捕获 CSP 违规。

要在 Sentry 中配置 CSP 报告,您需要从服务器发送一个 header 来描述您的策略,并指定经过身份验证Sentry 端点:

代码语言:javascript
代码运行次数:0
运行
AI代码解释
复制
Content-Security-Policy: ...; report-uri https://o0.ingest.sentry.io/api/0/security/?sentry_key=examplePublicKey

或者,您可以设置 CSP 报告以简单地发送报告而不是实际执行策略:

代码语言:javascript
代码运行次数:0
运行
AI代码解释
复制
Content-Security-Policy-Report-Only: ...; report-uri https://o0.ingest.sentry.io/api/0/security/?sentry_key=examplePublicKey

在定义您的策略时,确保 sentry.io 或您的自托管 sentry 域 在您的 default-srcconnect-src 策略中很重要,否则浏览器将阻止提交违反策略的请求。

有关更多信息,请参阅 MDN 上的文章。

  • https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Content-Security-Policy

Expect-CT

Certificate Transparency (CT) 是一种安全标准,可帮助跟踪和识别有效证书,允许识别恶意颁发的证书。

要在 Sentry 中配置报告,您需要从服务器配置 Expect-CT header:

代码语言:javascript
代码运行次数:0
运行
AI代码解释
复制
Expect-CT: ..., report-uri="https://o0.ingest.sentry.io/api/0/security/?sentry_key=examplePublicKey"

有关更多信息,请参阅 MDN 上的文章。

  • https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Expect-CT

HTTP Public Key Pinning

HTTP Public Key Pinning (HPKP) 是一种安全功能,它告诉 Web 客户端将特定的加密公钥(public key)与某个 Web 服务器相关联,以降低使用伪造证书进行 MITM 攻击的风险。它由浏览器厂商强制执行,Sentry 支持使用标准报告 Hook 捕获违规行为。

要在 Sentry 中配置 HPKP 报告,您需要从服务器发送一个 header 来描述您的策略,并指定经过身份验证的 Sentry 端点:

代码语言:javascript
代码运行次数:0
运行
AI代码解释
复制
Public-Key-Pins: ...; report-uri="https://o0.ingest.sentry.io/api/0/security/?sentry_key=examplePublicKey"

有关更多信息,请参阅 MDN 上的文章。

  • https://developer.mozilla.org/en-US/docs/Web/HTTP/Public_Key_Pinning

附加配置

除了 sentry_key 参数,您还可以在 report URI 的查询字符串中传递以下内容:

sentry_environment

  • 环境名称(例如 production)。

sentry_release

  • 应用程序的版本。

Sentry 21.8.0 开源版生产截图

本文参与 腾讯云自媒体同步曝光计划,分享自微信公众号。
原始发表:2021-09-22,如有侵权请联系 cloudcommunity@tencent.com 删除

本文分享自 黑客下午茶 微信公众号,前往查看

如有侵权,请联系 cloudcommunity@tencent.com 删除。

本文参与 腾讯云自媒体同步曝光计划  ,欢迎热爱写作的你一起参与!

评论
登录后参与评论
4 条评论
热度
最新
冲冲冲!~
冲冲冲!~
回复回复点赞举报
冲冲冲
冲冲冲
回复回复点赞举报
我来咯
我来咯
回复回复点赞举报
好嘞我来了!!!
好嘞我来了!!!
回复回复点赞举报
推荐阅读
编辑精选文章
换一批
技术创作特训营|“超级码力”技术闯关大挑战🚧
编程世界如同一场闯关小游戏,你是一名勇敢的开发者,迎难而上,突破一道道关卡,最终达成目标,赢得胜利。旅途中,困难、挫折、障碍无处不在,就像游戏中的谜题与陷阱,时刻考验你的智慧与毅力。但闯关的精髓不在于躲避挑战,而在于直面困境,快速学习、灵活应对,将每一个障碍化为前行的垫脚石,迈向更高的目标。
腾讯云开发者社区
2025/06/28
9148
【TDP年终活动part 3】——我是“TDP星推官”
回望已经过去的2022年,在这一年里,我们有收获、有提高,当然也有压力和些许的难关。
TDP 官方运营
2023/01/10
1.7K52
【TDP年终活动part 3】——我是“TDP星推官”
我与腾云先锋TDP的故事
我是一个大学学生,平时喜欢网络技术,没事看看建站技术文章,前不久入驻云社区,帮忙回答问题,写写文章。社区助理邀请我加入了云社区的交流群。
幻影龙王
2021/10/04
8510
技术创作特训营|开发者知识共享季🌳
恭喜各位作者,请以上获奖作者在截止兑换前填写收货问卷完成兑奖。届时我们会通过社区站内信息提醒或微信沟通的方式提醒您填写,请留意。如有任何问题联系腾讯云开发者社区助理(微信号:yun_assistant)咨询。
腾讯云开发者社区
2025/04/18
1.8K2
🌟TDP腾云先锋月刊-七-✨「智联未来,云启新程」✨
腾讯云开发者先锋(TDP)为您带来本月的产品精选月刊,与您一同 探索云端科技的最新进展,共享智能互联的无限可能。
TDP 官方运营
2024/07/10
4280
玩转AI新声态 | 腾讯云语音产品有奖征文挑战赛
获奖名单请移步官网文档查看:https://cloud.tencent.com/document/act 届时会发站内信和短信通知获奖,请获奖的小伙伴留意并兑
腾讯云开发者社区
2024/05/15
1.9K4
玩转AI新声态 | 腾讯云语音产品有奖征文挑战赛
【腾讯技术创作狂欢月】 第2期,写技术文章,赢丰富激励!
腾讯云开发者社区技术创作公益讲座【腾讯技术创作特训营第二季】第二期开启!腾讯云开发者社区联动小红书带来《AI大爆炸时代的创作“开挂”指南》讲座(点击前往回顾)。
腾讯云开发者社区
2024/05/30
2.8K6
【TDP·腾讯云产品“用户实践”征文】——第一期
为了进一步丰富和完善现有产品文档,更好地服务于广大用户,现面向全体用户发出邀请,邀请大家成为官网内容贡献者,共同打造极致文档体验。本次活动是TDP运营团队联合文档部门共同发起的,TDP团队对乐于分享者,将在文档奖励的基础之上进行福利加码,将会获得丰厚的奖励回馈哦~
TDP 官方运营
2022/03/01
2K1
【TDP·腾讯云产品“用户实践”征文】——第一期
腾云先锋第四期招募令已出,TDP男孩女孩们 速来~~
腾云先锋(TDP,Tencent Cloud Developer Pioneer)是腾讯云GTS官方组建并运营的技术开发者群体。这里有最专业的开发者&客户,能与产品人员亲密接触,专有的问题&需求反馈渠道,有一群志同道合的兄弟姐妹。
TDP 官方运营
2022/06/01
1.6K3
腾云先锋第四期招募令已出,TDP男孩女孩们 速来~~
21天技术创作挑战赛 | 2025重启人生特辑⏰ 这一次,我要夺回属于我的一切!🙋
作者获奖名单公布: 写口碑好文获奖 经过社区顾问团从创新性、实用性、可借鉴性、代码规范度等这几个维度的评分以及阅读数、点赞数、评论数、收藏数等维度的指标,综合
腾讯云开发者社区
2024/12/20
71.8K30
TDP答题寻宝活动第一期——鹅厂精美“宝箱”等你来兑换!
在开启的活动周期内,TDP运营官每个工作日会在腾云先锋反馈交流群内发寻宝线索和一道抢答题,寻宝者通过在群内答题累积幸运点,活动结束后通过幸运点兑换相应等级的宝箱,活动期间还会有彩蛋福利场,随机掉落宝箱!
TDP 官方运营
2023/02/23
1.6K5
TDP答题寻宝活动第一期——鹅厂精美“宝箱”等你来兑换!
【TDP年终活动part 1】——我是“云服务体验官”有奖问卷
想必各位使用腾讯云产品的小伙伴们都体验过腾讯云的服务吧!腾讯云一直致力于为大家提供专业的服务,7*24小时的快速响应,希望大家能够轻松上云,及时解决遇到的技术难题。
TDP 官方运营
2022/12/22
1.4K1
【TDP年终活动part 1】——我是“云服务体验官”有奖问卷
腾讯21天技术日志挑战赛,等你来战!
腾讯云开发者社区技术创作公益讲座【腾讯技术创作特训营第二季】第3期开启!腾讯云开发者社区带来《内容IP:技术人的最终归宿?》讲座(点击前往回顾)。本期我们讨论了
腾讯云开发者社区
2024/07/18
4.8K16
【21天技术创作挑战赛】2024好事接龙特辑🐲
作者获奖名单公布: 好事佳作获奖 经过社区顾问团从创新性、实用性、可借鉴性、代码规范度等这几个维度的评分以及阅读数、点赞数、评论数、收藏数等维度的指标,综合得出
腾讯云开发者社区
2024/11/08
25K8
玩转腾讯混元 | 腾讯混元大模型AIGC系列产品技术有奖征文活动
作者获奖名单公布 获奖名单请移步官网文档查看:https://cloud.tencent.com/document/act 届时会发站内信和短信通知获奖,请获奖
腾讯云开发者社区
2024/09/03
11.5K7
【腾讯技术创作狂欢月】“码”上创作 21 天,分 10000 元奖品池!
腾讯云开发者社区技术创作公益讲座【腾讯技术创作特训营】升级回归!本季旨在联结一切能让开发者技术创作更轻松 | 更高效 | 更优质 的伙伴团队,打破技术创作高不可
腾讯云开发者社区
2024/04/12
3.6K12
【腾讯技术创作狂欢月】“码”上创作 21 天,分 10000 元奖品池!
2024腾讯云开发者社区年度表彰|更有 3 大新春有奖活动等你参与🎁
图片 2024 年,腾讯云开发者与千万名开发者们,携手共创了一个崭新的社区。从技术交流到知识共享,从线下相聚到线上互动,我们一起走过了意义非凡的旅程。转眼间,腾
腾讯云开发者社区
2025/01/10
13K59
2024腾讯云开发者社区年度表彰|更有 3 大新春有奖活动等你参与🎁
腾讯云智能体开发平台×DeepSeek最佳实践有奖征文活动
作者获奖名单公布 获奖名单请移步官网文档查看:https://cloud.tencent.com/document/act 届时会发站内信和短信通知获奖,请获奖
腾讯云开发者社区
2025/02/14
23.6K15
腾讯云AI助手体验反馈活动
1. 参与资格:TDP_WHITELIST白名单内开发者用户(注:代客、渠道账号不支持)
TDP 官方运营
2024/11/08
1.5K0
【腾讯云智能客服智囊团活动·第一期】——“调戏”智能客服拿好礼~
你是否曾调侃过智能客服不够智能?想问的问题没找到答案?这一次我们的智能客服虚心向各位大神求教,帮帮她变得更加聪明、更加智能可好?
TDP 官方运营
2021/11/24
9.3K5
【腾讯云智能客服智囊团活动·第一期】——“调戏”智能客服拿好礼~
推荐阅读
相关推荐
技术创作特训营|“超级码力”技术闯关大挑战🚧
更多 >
领券
问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档
本文部分代码块支持一键运行,欢迎体验
本文部分代码块支持一键运行,欢迎体验