专栏首页黑客下午茶Sentry 监控 - Security Policy 安全策略报告

Sentry 监控 - Security Policy 安全策略报告

系列

目录

  • Content-Security-Policy
  • Expect-CT
  • HTTP Public Key Pinning
  • 附加配置
  • Sentry 21.8.0 开源版生产截图

Sentry 能够通过设置适当的 HTTP header 来收集有关 Content-Security-Policy (CSP) 违规行为以及 Expect-CTHTTP Public Key Pinning (HPKP) 失败(failures)的信息,这会让违规/失败(violation/failure)发送到 report-uri 中指定的 Sentry 端点。

  • Content-Security-Policy (CSP):https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Content-Security-Policy
  • Expect-CT:https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Expect-CT
  • HTTP Public Key Pinning (HPKP) :https://developer.mozilla.org/en-US/docs/Web/HTTP/Public_Key_Pinning

Content-Security-Policy

Content-Security-Policy (CSP) 是一种安全标准,有助于防止跨站点脚本 (XSS)点击劫持(clickjacking)和其他由于在受信任的网页上下文中执行恶意内容而导致的代码注入攻击。它由浏览器厂商强制执行,Sentry 支持使用标准报告 Hook 捕获 CSP 违规。

要在 Sentry 中配置 CSP 报告,您需要从服务器发送一个 header 来描述您的策略,并指定经过身份验证的 Sentry 端点:

Content-Security-Policy: ...; report-uri https://o0.ingest.sentry.io/api/0/security/?sentry_key=examplePublicKey

或者,您可以设置 CSP 报告以简单地发送报告而不是实际执行策略:

Content-Security-Policy-Report-Only: ...; report-uri https://o0.ingest.sentry.io/api/0/security/?sentry_key=examplePublicKey

在定义您的策略时,确保 sentry.io 或您的自托管 sentry 域 在您的 default-srcconnect-src 策略中很重要,否则浏览器将阻止提交违反策略的请求。

有关更多信息,请参阅 MDN 上的文章。

  • https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Content-Security-Policy

Expect-CT

Certificate Transparency (CT) 是一种安全标准,可帮助跟踪和识别有效证书,允许识别恶意颁发的证书。

要在 Sentry 中配置报告,您需要从服务器配置 Expect-CT header:

Expect-CT: ..., report-uri="https://o0.ingest.sentry.io/api/0/security/?sentry_key=examplePublicKey"

有关更多信息,请参阅 MDN 上的文章。

  • https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Expect-CT

HTTP Public Key Pinning

HTTP Public Key Pinning (HPKP) 是一种安全功能,它告诉 Web 客户端将特定的加密公钥(public key)与某个 Web 服务器相关联,以降低使用伪造证书进行 MITM 攻击的风险。它由浏览器厂商强制执行,Sentry 支持使用标准报告 Hook 捕获违规行为。

要在 Sentry 中配置 HPKP 报告,您需要从服务器发送一个 header 来描述您的策略,并指定经过身份验证的 Sentry 端点:

Public-Key-Pins: ...; report-uri="https://o0.ingest.sentry.io/api/0/security/?sentry_key=examplePublicKey"

有关更多信息,请参阅 MDN 上的文章。

  • https://developer.mozilla.org/en-US/docs/Web/HTTP/Public_Key_Pinning

附加配置

除了 sentry_key 参数,您还可以在 report URI 的查询字符串中传递以下内容:

sentry_environment

  • 环境名称(例如 production)。

sentry_release

  • 应用程序的版本。

Sentry 21.8.0 开源版生产截图

本文分享自微信公众号 - 黑客下午茶(hi-weishao),作者:为少

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2021-09-22

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • Sentry 监控 - Snuba 数据中台架构简介(Kafka+Clickhouse)

    Snuba 是一种在 Clickhouse 之上提供丰富数据模型以及快速摄取消费者(直接从 Kafka 获取数据)和查询优化器的服务。

    为少
  • Sentry 监控 - Snuba 数据中台架构(Data Model 简介)

    本节介绍数据在 Snuba 中的组织方式以及面向用户的数据如何映射到底层数据库(如: Clickhouse)。

    为少
  • 内容安全策略( CSP )

    内容安全策略 (CSP) 是一个额外的安全层,用于检测并削弱某些特定类型的攻击,包括跨站脚本 (XSS) 和数据注入攻击等。无论是数据盗取、网站内容污染还是...

    用户2202688
  • 0809-7.1.3-Ranger页面功能介绍

    《0801-什么是Apache Ranger - 4 - Resource vs Tag Based Policies》

    Fayson
  • Sentry 监控 - Search 搜索查询实战

    搜索查询是使用 key:value 模式构建的,最后是可选的原始搜索。每个 key:value 都是一个 token,可选的原始搜索本身就是一个 token。k...

    为少
  • CSP——前端安全第一道防线

    内容安全策略的主要作用就是尽量降低网站遭受 XSS 跨站脚本攻击的可能。浏览器没办法区分要执行的代码是否为页面本身的还是恶意注入的,XSS 就是利用这一点对网站...

    JS菌
  • 快速搞懂Oracle 19c安全新特性 (二)Privilege Analysis(权限分析)

    关键字(Keyword):19c 数据库安全 新特性 Privilege Analysis 权限分析

    SQLplusDB
  • Web应用服务器安全:攻击、防护与检测

    点击劫持,clickjacking 是一种在网页中将恶意代码等隐藏在看似无害的内容(如按钮)之下,并诱使用户点击的手段,又被称为界面伪装(UI redressi...

    RiboseYim
  • 使用这些 HTTP 头保护 Web 应用

    目前,浏览器已经实现了大量与安全相关的头文件,使攻击者更难利用漏洞。接下来的讲解它们的使用方式、它们防止的攻击类型以及每个头后面的一些历史。

    Fundebug
  • Sentry 监控 - Alerts 告警

    警报提供对代码问题和对用户的影响的实时可见性。有多种类型的警报可用于自定义阈值和集成。

    为少
  • Confluence 6 安全相关问题提交链接

    Atlassian 有关安全漏洞的报告细节,请参考如何报告一个安全问题(How to Report a Security Issue)链接。

    HoneyMoose
  • 研发:如何防止混合内容

    查找和修正混合内容是一项重要任务,但可能非常耗时。本指南将介绍可为此过程提供帮助的一些工具和技术。如需了解混合内容本身的更多信息,请参阅什么是混合内容。

    heidsoft
  • 为什么你的网页需要 CSP?

    内容安全策略(CSP)是一个 HTTP Header,CSP 通过告诉浏览器一系列规则,严格规定页面中哪些资源允许有哪些来源, 不在指定范围内的统统拒绝。

    ConardLi
  • Sentry 监控 - 面向全栈开发人员的分布式跟踪 101 系列教程(第一部分)

    欢迎来到我们关于全栈开发人员分布式跟踪(Distributed Tracing)的系列的第 1 部分。在本系列中,我们将学习分布式跟踪的细节,以及它如何帮助您监...

    为少
  • 绕过Edge、Chrome和Safari的内容安全策略

    概述 ---- Web应用中有许多基本的安全机制,其中一个是同源(same-origin)策略机制,该机制规定了应用程序代码可以访问的资源范围。同源策略的...

    奶糖味的代言
  • 浏览器特性

    window.onload 事件表示页面加载完成后才加载 JavaScript 代码。这里的 “页面加载完成” 指的是在文档装载完成后会触发 load 事件,此...

    多云转晴
  • 顶级开源项目 Sentry 20.x JS-SDK 设计艺术(概述篇)

    下面是一个实现新的 Sentry SDK 的指南。它涵盖了事件提交的协议,以及客户端的典型外观和行为准则。

    为少
  • RSA 创新沙盒盘点| Tala Security—高效检测和防护各种针对WEB客户端的攻击

    2020年2月24日-28日,网络安全行业盛会RSA Conference将在旧金山拉开帷幕。已经相继向大家介绍了入选今年创新沙盒的十强初创公司:Elevate...

    绿盟科技研究通讯
  • 0742-什么是Apache Ranger - 2

    作者:Eric Lin (林晨辉), Cloudera高级售后技术支持工程师。毕业于Monash大学计算机科学, Sir John Monash的奖学金获得者。...

    Fayson

扫码关注云+社区

领取腾讯云代金券