Изменения документа G03.02. Политика безопасности контента
Редактировал(а) Ирина Сафонова 22.03.2024, 15:17
От версии 27.1
отредактировано Ирина Сафонова
на 02.10.2023, 13:22
на 02.10.2023, 13:22
Изменить комментарий:
К данной версии нет комментариев
К версии 23.1
отредактировано Ирина Сафонова
на 14.07.2023, 23:42
на 14.07.2023, 23:42
Изменить комментарий:
К данной версии нет комментариев
Сводка
-
Свойства страницы (2 изменено, 0 добавлено, 0 удалено)
Подробности
- Свойства страницы
-
- Название
-
... ... @@ -1,1 +1,1 @@ 1 -C01. Политика безопасности контента1 +C01. Политика безопасности - Содержимое
-
... ... @@ -8,32 +8,32 @@ 8 8 9 9 == Возможности политики == 10 10 11 -**Политика безопасности контента** — дополнительный уровень безопасности, который помогает обнаруживать и смягчать определенные типы атак, включая [[межсайтовые скриптинги>>https://wiki.dfcloud.ru/bin/view/Glossary/%D0%9C%D0%B5%D0%B6%D1%81%D0%B0%D0%B9%D1%82%D0%BE%D0%B2%D1%8B%D0%B9%20%D1%81%D0%BA%D1%80%D0%B8%D0%BF%D1%82%D0%B8%D0%BD%D0%B3]] (XSS) и атаки с внедрением данных. 11 +**Политика безопасности контента** — это дополнительный уровень безопасности, который помогает обнаруживать и смягчать определенные типы атак, включая [[межсайтовые скриптинги>>https://wiki.dfcloud.ru/bin/view/Glossary/%D0%9C%D0%B5%D0%B6%D1%81%D0%B0%D0%B9%D1%82%D0%BE%D0%B2%D1%8B%D0%B9%20%D1%81%D0%BA%D1%80%D0%B8%D0%BF%D1%82%D0%B8%D0%BD%D0%B3]] (XSS) и атаки с внедрением данных. 12 12 13 -Политика безопасности контента позволяет администраторам серверов уменьшить или устранить векторы, по которым может происходить XSS, указав домены, которые браузер должен рассматривать как допустимые источники исполняемых скриптов. В этом случае браузер, совместимый с политикой, выполня ет только сценарии, загруженные в исходные файлы и полученные из этих разрешенных доменов, игнорируя все остальные сценарии (включая встроенные сценарии и HTML-атрибуты обработки событий).13 +Политика безопасности контента позволяет администраторам серверов уменьшить или устранить векторы, по которым может происходить XSS, указав домены, которые браузер должен рассматривать как допустимые источники исполняемых скриптов. В этом случае браузер, совместимый с политикой, будет выполнять только сценарии, загруженные в исходные файлы и полученные из этих разрешенных доменов, игнорируя все остальные сценарии (включая встроенные сценарии и HTML-атрибуты обработки событий). 14 14 15 15 == Переменные для настройки политики == 16 16 17 - Корректно настройтеполитику безопасности контента при развертывании Cloud BI, чтобы предотвратить атакиCloud BI предоставляет две переменные в {{code language="none"}}config.py{{/code}} для развертывания:17 +Необходимо коррректно настроить политику безопасности контента при развертывании Cloud BI, чтобы предотвратить многие типы атак. Cloud BI предоставляет две переменные в {{code language="none"}}config.py{{/code}} для развертывания: 18 18 19 -* {{code language="none"}}TALISMAN_ENABLED{{/code}} по умолчанию имеет значение //False//. Установите для этого параметра значение //True .//20 -* {{code language="none"}}TALISMAN_CONFIG{{/code}} содержит фактическое определение политики .19 +* {{code language="none"}}TALISMAN_ENABLED{{/code}} по умолчанию имеет значение //False//. Установите для этого параметра значение //True// 20 +* {{code language="none"}}TALISMAN_CONFIG{{/code}} содержит фактическое определение политики 21 21 22 22 == Проверка настроек политики == 23 23 24 -При работе в продуктивном режиме Cloud BI при запуске проверяет наличие настройки политики. Если на стройкане найдена, то система выдает предупреждение, что есть угроза безопасности. Для сред, в которых политики безопасности определены вне Cloud BI с помощью другого программного обеспечения, администраторы могут отключить это предупреждение с помощью ключа {{code language="none"}}CONTENT_SECURITY_POLICY_WARNING{{/code}} в {{code language="none"}}config.py{{/code}}.24 +При работе в продуктивном режиме Cloud BI при запуске проверяет наличие настройки политики. Если она не будет найдена, то система выдаст предупреждение, что есть угроза безопасности. Для сред, в которых политики безопасности определены вне Cloud BI с помощью другого программного обеспечения, администраторы могут отключить это предупреждение с помощью ключа {{code language="none"}}CONTENT_SECURITY_POLICY_WARNING{{/code}} в {{code language="none"}}config.py{{/code}}. 25 25 26 26 = Требования к политике = 27 27 28 28 ---- 29 29 30 - Длянастройки укажите ключевые слова {{code language="none"}}'unsafe-eval'{{/code}} и {{code language="none"}}'unsafe-inline'{{/code}}:30 +* Укажите ключевые слова {{code language="none"}}'unsafe-eval'{{/code}} и {{code language="none"}}'unsafe-inline'{{/code}}: 31 31 32 32 {{code language="none"}} 33 33 default-src 'self' 'unsafe-eval' 'unsafe-inline' 34 34 {{/code}} 35 35 36 -Некоторые .36 +* Некоторые дашборды загружают изображения с использованием URI данных: 37 37 38 38 {{code language="none"}} 39 39 img-src 'self' data: