--- marp: true theme: gaia backgroundColor: #fff backgroundImage: url('img/hero-background.svg') --- #

:shield: OWASP TOP 10 :shield: # :shield: Nagłówki bezpieczeństwa HTTP :shield: --- # OWASP TOP 10 - [OWASP](https://owasp.org/) - Open Web Application Security Project - Zadaniem OWASP jest popularyzacja wiedzy na temat bezpieczeństwa aplikacji webowych - Co kilka lat publikuje listę najpoważniejszych zagrożeń dla aplikacji webowych - Aktualna wersja: [OWASP Top 10 2021](https://owasp.org/Top10/) - Nowa wersja jest spodziewana w pierwszej połowie 2025 roku --- #


:shield:Nagłówki HTTP :shield: --- # Nagłówek HTTP - Content Security Policy (CSP) - [Content Security Policy](https://developer.mozilla.org/en-US/docs/Web/HTTP/CSP) - polityka bezpieczeństwa treści - Zabezpiecza przed atakami typu XSS (Cross-Site Scripting) - Określa, jakie zasoby mogą być załadowane na stronie - Jest wykorzystywany przez przeglądarkę - Polityka działa w trybie *Allow-List* - Przy budowaniu polityki można korzystać z trybu *Report-Only* --- # Nagłówek HTTP - Access-Control-Allow-Origin (CORS) - [Cross-Origin Resource Sharing](https://developer.mozilla.org/en-US/docs/Web/HTTP/CORS) - Zasady udostępniania zasobów między różnymi domenami - Określa, czy zasób może być udostępniany między różnymi domenami - Wartość nagłówka może być ustawiona na konkretną domenę lub na znak * dla wszystkich - Nagłówek nie wspiera wyrażeń regularnych! --- # Nagłówek HTTP - Cache-Control - [Cache-Control](https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Cache-Control) - określa, jak należy przechowywać dany zasób - Pozwala na kontrolę ważności danego zasobu na poziomie: - aplikacji - przeglądarki - CDN - Content Delivery Network --- # Nagłówek HSTP - Strict-Transport-Security (HSTS) - [Strict-Transport-Security](https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Strict-Transport-Security) - wymusza korzystanie z protokołu HTTPS - pozwala na określenie czasu, przez jaki przeglądarka będzie wymuszała korzystanie z HTTPS; - próby wejścia za pomocą HTTP są automatycznie przekierowywane na HTTPS; --- # Plik *robots.txt* - [robots.txt](https://developers.google.com/search/docs/advanced/robots/intro) - plik tekstowy, który określa, które zasoby mogą być indeksowane przez boty - Jest dostępny w postaci pliku tekstowego pod adresem `https://[domain address]/robots.txt` - Może też wskazywać na plik `sitemap.xml`