Изменения документа G03.02. Политика безопасности контента
Редактировал(а) Ирина Сафонова 22.03.2024, 15:17
От версии 43.1
отредактировано Ирина Сафонова
на 30.10.2023, 17:13
на 30.10.2023, 17:13
Изменить комментарий:
К данной версии нет комментариев
К версии 36.1
отредактировано Ирина Сафонова
на 04.10.2023, 16:33
на 04.10.2023, 16:33
Изменить комментарий:
К данной версии нет комментариев
Сводка
-
Свойства страницы (2 изменено, 0 добавлено, 0 удалено)
Подробности
- Свойства страницы
-
- Родительский документ
-
... ... @@ -1,1 +1,1 @@ 1 - Big Data.Сервис Cloud BI.2\. Инструкция.02\. Руководство администратора.D\. Роли и права доступа.WebHome1 +Сервис Cloud BI.2\. Инструкция.02\. Руководство администратора.D\. Роли и права доступа.WebHome - Содержимое
-
... ... @@ -1,11 +1,8 @@ 1 -{{box cssClass="floatinginfobox" title="**Содержание**"}} 1 +**Содержание** 2 + 2 2 {{toc/}} 3 -{{/box}} 4 4 5 -(% data-xwiki-non-generated-content="java.util.List" %) 6 -((( 7 7 = Назначение политики безопасности контента = 8 -))) 9 9 10 10 ---- 11 11 ... ... @@ -13,11 +13,11 @@ 13 13 14 14 **Политика безопасности контента** — дополнительный уровень безопасности, который обнаруживает и смягчает определенные типы атак, включая [[межсайтовые скриптинги>>https://wiki.dfcloud.ru/bin/view/Glossary/%D0%9C%D0%B5%D0%B6%D1%81%D0%B0%D0%B9%D1%82%D0%BE%D0%B2%D1%8B%D0%B9%20%D1%81%D0%BA%D1%80%D0%B8%D0%BF%D1%82%D0%B8%D0%BD%D0%B3]] (XSS) и атаки с внедрением данных. 15 15 16 -Политика безопасности контента позволяет администраторам серверов уменьшить или устранить векторы, по которым может происходить XSS, указав домены, которые браузер должен рассматривать как допустимые источники исполняемых скриптов. В этом случае браузер, совместимый с политикой, выполняет только сценарии, загруженные в исходные файлы и полученные из этих разрешенных доменов .Браузеригнорируетостальные сценарии,включая встроенные сценарии и HTML-атрибуты обработки событий.13 +Политика безопасности контента позволяет администраторам серверов уменьшить или устранить векторы, по которым может происходить XSS, указав домены, которые браузер должен рассматривать как допустимые источники исполняемых скриптов. В этом случае браузер, совместимый с политикой, выполняет только сценарии, загруженные в исходные файлы и полученные из этих разрешенных доменов, игнорируя все остальные сценарии (включая встроенные сценарии и HTML-атрибуты обработки событий). 17 17 18 18 == Переменные для настройки политики == 19 19 20 - Настройте политику безопасности контента при развертывании**Cloud BI**, чтобы предотвратить атаки.Cloud BI предоставляет две переменные в {{code language="none"}}config.py{{/code}} для развертывания:17 +Корректно настройте политику безопасности контента при развертывании Cloud BI, чтобы предотвратить атаки Cloud BI предоставляет две переменные в {{code language="none"}}config.py{{/code}} для развертывания: 21 21 22 22 * {{code language="none"}}TALISMAN_ENABLED{{/code}} по умолчанию имеет значение //False//. Установите для этого параметра значение //True.// 23 23 * {{code language="none"}}TALISMAN_CONFIG{{/code}} содержит фактическое определение политики. ... ... @@ -24,13 +24,13 @@ 24 24 25 25 == Проверка настроек политики == 26 26 27 -При работе в продуктивном режиме **Cloud BI**при запуске проверяет наличие настройки политики. Если настройка не найдена, то система выдает предупреждение обугрозебезопасности. Для сред, в которых политики безопасности определены вне Cloud BI с помощью другого программного обеспечения, администраторыпри необходимостиотключают это предупреждение с помощью ключа {{code language="none"}}CONTENT_SECURITY_POLICY_WARNING{{/code}} в {{code language="none"}}config.py{{/code}}.24 +При работе в продуктивном режиме Cloud BI при запуске проверяет наличие настройки политики. Если настройка не найдена, то система выдает предупреждение, что есть угроза безопасности. Для сред, в которых политики безопасности определены вне Cloud BI с помощью другого программного обеспечения, администраторы могут отключить это предупреждение с помощью ключа {{code language="none"}}CONTENT_SECURITY_POLICY_WARNING{{/code}} в {{code language="none"}}config.py{{/code}}. 28 28 29 29 = Требования к политике = 30 30 31 31 ---- 32 32 33 -Для настройки укажите ключевые слова {{code language="none"}}'unsafe-eval'{{/code}} и {{code language="none"}}'unsafe-inline'{{/code}} .30 +Для настройки укажите ключевые слова {{code language="none"}}'unsafe-eval'{{/code}} и {{code language="none"}}'unsafe-inline'{{/code}}: 34 34 35 35 {{code language="none"}} 36 36 default-src 'self' 'unsafe-eval' 'unsafe-inline' ... ... @@ -42,7 +42,7 @@ 42 42 img-src 'self' data: 43 43 {{/code}} 44 44 45 -Диаграммы MapBox используют воркеры и подключаются к серверам MapBox .42 +Диаграммы MapBox используют воркеры и подключаются к серверам MapBox: 46 46 47 47 {{code language="none"}} 48 48 worker-src 'self' blob: