你好呀,
我不太了解 CSP,所以我无法为我的 etherpad 实例编写正确的 CSP 配置。 这里的任何人都可以举一个例子来说明保持 Etherpad 正常工作但提高其安全性的方法吗?
我认为添加此类示例后可以改进文档。
非常感谢。
aswen
所有7条评论
- [x] 看看https://observatory.mozilla.org/analyze/video.etherpad.com 的哪些部分我们可以在 Etherpad 代码库中完成,而不会破坏用户体验。 这可能意味着在设置中放入一些东西。
- [ ] 我们不能做的事情我们应该记录下来
注意 Video.etherpad.com 结果是
JohnMcLear
于 2020-04-08
一个简单的npm install ep_helmet或通过插件安装 UI 安装ep_helmet将使您在 Observatory 上https://observatory.mozilla.org/analyze/video.etherpad.com
问题的范围是“什么 CSP 标头”,但我确实有点切题,并决定涵盖更多与攻击者可用的标头相关的漏洞利用。 这为管理员提供了“一键式”解决方案以提高安全性。
这还没有“修复”正确 CSP 标头的问题。 由于有太多的内联 JS,CSP 通常是在 Etherpad 中实现的一个婊子。 真他妈的多。 而且 afaik 它是动态的,所以我需要采用 nonce 方法,这意味着要接触很多文件。 我什至不确定这是否可能,但我会尝试在上面多花几个小时,看看我能达到什么程度。 即使它只是确认我们需要将 javascript 移出 html 文件,这也是值得的。 Imho unsafe-eval 和 unsafe-inline 是值得努力解决的两个最大的向量......也许明天......
JohnMcLear
于 2020-04-26
好的,现在 CSP 有一个合并请求,我将发布更新的头盔。
JohnMcLear
于 2020-04-27
等待@muxator审核。
JohnMcLear
于 2020-07-01
顺便说一句,我对修复的担忧是插件经常使用内联 js,因此如果您启用严格的 csp 策略,则意味着其中一些将无法正常工作
JohnMcLear
于 2020-07-01
我今天重新定位。 这个 PR 太牵强了,不想自己合并。
PR 只处理 nonce,它对于解决 inlineJS 问题不是很好,但对于大多数npm install ep_helmet可以节省一天的时间:)
JohnMcLear
于 2020-07-17
此问题已自动标记为过时,因为它最近没有活动。 如果没有进一步的活动发生,它将被关闭。 感谢你的贡献。
![stale[bot] picture](https://avatars3.githubusercontent.com/in/1724?v=4&s=40)
stale[bot]
于 2020-09-15
相关问题
YSelfTool
·
5评论
JohnMcLear
·
9评论
zeer15398376
·
9评论
ljoets
·
9评论
ddeenniiss
·
4评论