note

DjangoでのCross-Site Scripting(XSS)防止の適用

Web 開発では、クロスサイト スクリプティング (XSS) は一般的なセキュリティ脆弱性であり、攻撃者が被害者のブラウザで悪意のあるスクリプトを実行することを可能にする。強力で人気のある Python Web フレームワークである Django は、開発者が XSS 攻撃から ...
heise online

Page 2: CSP Script Hashes

// index.html <button id="button">Say Hello!</button> <script> document.addEventListener("DOMContentLoaded", () => { document.getElementById("button ...
note

安全確保支援士 試験対策:Content-Security-Policy(CSP)

💥 XSS(クロスサイトスクリプティング)などの攻撃を防ぐためのWebセキュリティ対策! 「CSPヘッダの目的として適切なものを選べ」 「XSSの被害を軽減する手段としてCSPを使う理由は?」 「インラインスクリプトを許可しない指定は?」(='unsafe-inline ...
GitHub

datatables_view requires 'unsafe-inline' for both style and script under strict CSP

When running datatables_view under a strict Content Security Policy (CSP) that disallows 'unsafe-inline', the view fails to function correctly. The dataset page itself loads, but the DataTables view ...
GitHub

Can we have customization option for 'script-src'?

Actually, I like the plugin and it is helpful for my client's site. But for my own site, I need more control. Below, I added what I have after following the plugin ...
heise online

Web-Security: With Content Security Policy against Cross-Site Scripting, Part 2

Cross-site scripting (XSS) remains one of the most common security threats to web applications. Despite advanced protection mechanisms, attackers continue to find new ways to exploit XSS ...