保护CSP报告-uri有效负载
保护CSP报告-uri有效负载
提问于 2021-02-25 00:19:42
我希望实现一个Lambda@Edge函数,将添加CSP头到我的网站,从而将提高我的网站的安全性。
我确实有关于URL报告设置( report -to/report-uri)的问题。据我所知,我没有办法验证CSP违规请求。这是否意味着,如果一个恶意的人获得了我的报告API,他们就可以只发送垃圾POST请求和发送虚假数据?有没有办法为通过reporting指令发布的报告添加任何类型的安全性?
回答 1
Stack Overflow用户
回答已采纳
发布于 2021-02-25 09:45:32
是的,恶意的人可以发送虚假的垃圾邮件违规报告。但他不会从中获得任何利润,只是DOS攻击,不会影响网站。
如果您确实使用自己的服务来获取违规报告,则可以对此进行一些保护。您可以检查cookie,为每个访问者的报告API生成一个特殊的URL (例如,向其添加md5 (IP地址))等。
但通常没有理由保护报告。攻击者无法确定此API当前是否正在运行或已禁用。因此,盲目攻击上报API是没有意义的。
页面原文内容由Stack Overflow提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:
https://stackoverflow.com/questions/66354760
复制相关文章
相似问题
腾讯云开发者
