kolejne materiały
This commit is contained in:
parent
bbca885034
commit
ec05bd5531
@ -5,7 +5,8 @@ backgroundColor: #fff
|
||||
backgroundImage: url('img/hero-background.svg')
|
||||
|
||||
---
|
||||
# </br></br></br>:shield: OWASP TOP 10:shield:
|
||||
# </br></br>:shield: OWASP TOP 10 :shield:
|
||||
# :shield: Nagłówki bezpieczeństwa HTTP :shield:
|
||||
|
||||
---
|
||||
|
||||
@ -15,3 +16,41 @@ backgroundImage: url('img/hero-background.svg')
|
||||
- Co kilka lat publikuje listę najpoważniejszych zagrożeń dla aplikacji webowych
|
||||
- Aktualna wersja: [OWASP Top 10 2021](https://owasp.org/Top10/)
|
||||
- Nowa wersja jest spodziewana w pierwszej połowie 2025 roku
|
||||
|
||||
---
|
||||
# </br></br></br>:shield:Nagłówki HTTP :shield:
|
||||
|
||||
---
|
||||
|
||||
# Nagłówek HTTP - Content Security Policy (CSP)
|
||||
- [Content Security Policy](https://developer.mozilla.org/en-US/docs/Web/HTTP/CSP) - polityka bezpieczeństwa treści
|
||||
- Zabezpiecza przed atakami typu XSS (Cross-Site Scripting)
|
||||
- Określa, jakie zasoby mogą być załadowane na stronie
|
||||
- Jest wykorzystywany przez przeglądarkę
|
||||
- Polityka działa w trybie *Allow-List*
|
||||
- Przy budowaniu polityki można korzystać z trybu *Report-Only*
|
||||
|
||||
---
|
||||
|
||||
# Nagłówek HTTP - Access-Control-Allow-Origin (CORS)
|
||||
- [Cross-Origin Resource Sharing](https://developer.mozilla.org/en-US/docs/Web/HTTP/CORS) - Zasady udostępniania zasobów między różnymi domenami
|
||||
- Określa, czy zasób może być udostępniany między różnymi domenami
|
||||
- Wartość nagłówka może być ustawiona na konkretną domenę lub na znak * dla wszystkich
|
||||
- Nagłówek nie wspiera wyrażeń regularnych!
|
||||
|
||||
---
|
||||
|
||||
# Nagłówek HTTP - Cache-Control
|
||||
- [Cache-Control](https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Cache-Control) - określa, jak należy przechowywać dany zasób
|
||||
- Pozwala na kontrolę ważności danego zasobu na poziomie:
|
||||
- aplikacji
|
||||
- przeglądarki
|
||||
- CDN - Content Delivery Network
|
||||
|
||||
---
|
||||
|
||||
# Plik *robots.txt*
|
||||
- [robots.txt](https://developers.google.com/search/docs/advanced/robots/intro) - plik tekstowy, który określa, które zasoby mogą być indeksowane przez boty
|
||||
- Jest dostępny w postaci pliku tekstowego pod adresem `https://[domain address]/robots.txt`
|
||||
- Może też wskazywać na plik `sitemap.xml`
|
||||
|
||||
|
13
zadania.md
13
zadania.md
@ -32,5 +32,14 @@
|
||||
3. Zapoznaj się z ofertą [AWS Free Tier](https://aws.amazon.com/free/)
|
||||
4. Po zakończeniu ćwiczeń, usuń maszynę wirtualną EC2.
|
||||
|
||||
## OWASP
|
||||
1. Zapoznaj się z projektami [OWASP](https://owasp.org/projects/)
|
||||
## OWASP i Nagłówki HTTP
|
||||
|
||||
1. Zapoznaj się z projektami [OWASP](https://owasp.org/projects/)
|
||||
2. Zapoznaj się z nagłówkami bezpieczeństwa HTTP:
|
||||
- [Content Security Policy](https://developer.mozilla.org/en-US/docs/Web/HTTP/CSP)
|
||||
- [Cross-Origin Resource Sharing](https://developer.mozilla.org/en-US/docs/Web/HTTP/CORS)
|
||||
- [Cache-Control](https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Cache-Control)
|
||||
- [robots.txt](https://en.wikipedia.org/wiki/Robots.txt)
|
||||
Sprawdź jakie nagłówki i zawartość pliku robots.txt są dostępne różnych stronach internetowych.
|
||||
3. Za pomocą dodatków do przeglądarki WWW, np. [ModHeader](https://modheader.com/) spróbuj zbudować politykę CSP dla wybranej strony internetowej, np. [https://wmi.amu.edu.pl/](https://wmi.amu.edu.pl/)
|
||||
4. Sprawdź co oznacza wartość `no-cache` w nagłówku `Cache-Control`.
|
Loading…
Reference in New Issue
Block a user