64 lines
2.5 KiB
Markdown
64 lines
2.5 KiB
Markdown
---
|
|
marp: true
|
|
theme: gaia
|
|
backgroundColor: #fff
|
|
backgroundImage: url('img/hero-background.svg')
|
|
|
|
---
|
|
# </br></br>:shield: OWASP TOP 10 :shield:
|
|
# :shield: Nagłówki bezpieczeństwa HTTP :shield:
|
|
|
|
---
|
|
|
|
# OWASP TOP 10
|
|
- [OWASP](https://owasp.org/) - Open Web Application Security Project
|
|
- Zadaniem OWASP jest popularyzacja wiedzy na temat bezpieczeństwa aplikacji webowych
|
|
- Co kilka lat publikuje listę najpoważniejszych zagrożeń dla aplikacji webowych
|
|
- Aktualna wersja: [OWASP Top 10 2021](https://owasp.org/Top10/)
|
|
- Nowa wersja jest spodziewana w pierwszej połowie 2025 roku
|
|
|
|
---
|
|
# </br></br></br>:shield:Nagłówki HTTP :shield:
|
|
|
|
---
|
|
|
|
# Nagłówek HTTP - Content Security Policy (CSP)
|
|
- [Content Security Policy](https://developer.mozilla.org/en-US/docs/Web/HTTP/CSP) - polityka bezpieczeństwa treści
|
|
- Zabezpiecza przed atakami typu XSS (Cross-Site Scripting)
|
|
- Określa, jakie zasoby mogą być załadowane na stronie
|
|
- Jest wykorzystywany przez przeglądarkę
|
|
- Polityka działa w trybie *Allow-List*
|
|
- Przy budowaniu polityki można korzystać z trybu *Report-Only*
|
|
|
|
---
|
|
|
|
# Nagłówek HTTP - Access-Control-Allow-Origin (CORS)
|
|
- [Cross-Origin Resource Sharing](https://developer.mozilla.org/en-US/docs/Web/HTTP/CORS) - Zasady udostępniania zasobów między różnymi domenami
|
|
- Określa, czy zasób może być udostępniany między różnymi domenami
|
|
- Wartość nagłówka może być ustawiona na konkretną domenę lub na znak * dla wszystkich
|
|
- Nagłówek nie wspiera wyrażeń regularnych!
|
|
|
|
---
|
|
|
|
# Nagłówek HTTP - Cache-Control
|
|
- [Cache-Control](https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Cache-Control) - określa, jak należy przechowywać dany zasób
|
|
- Pozwala na kontrolę ważności danego zasobu na poziomie:
|
|
- aplikacji
|
|
- przeglądarki
|
|
- CDN - Content Delivery Network
|
|
|
|
---
|
|
|
|
# Nagłówek HSTP - Strict-Transport-Security (HSTS)
|
|
- [Strict-Transport-Security](https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Strict-Transport-Security) - wymusza korzystanie z protokołu HTTPS
|
|
- pozwala na określenie czasu, przez jaki przeglądarka będzie wymuszała korzystanie z HTTPS;
|
|
- próby wejścia za pomocą HTTP są automatycznie przekierowywane na HTTPS;
|
|
|
|
---
|
|
|
|
# Plik *robots.txt*
|
|
- [robots.txt](https://developers.google.com/search/docs/advanced/robots/intro) - plik tekstowy, który określa, które zasoby mogą być indeksowane przez boty
|
|
- Jest dostępny w postaci pliku tekstowego pod adresem `https://[domain address]/robots.txt`
|
|
- Może też wskazywać na plik `sitemap.xml`
|
|
|