我们进行了渗透测试,其中一项发现是:
“缺少内容安全策略 HTTP 响应标头”
我们做了一些研究,发现了如何在 web 服务器的 httpd.conf 文件中设置它。问题是我们不知道确切地包含什么。我们的网络应用程序对外部站点(如 googleapis 或任何 CDN 或网络上的外部图像)没有任何依赖。所以,我们真的不确定该放什么。
下面是一个示例,但这依赖于一些谷歌链接。
<Location "/CompanyXYZ/">
Header always append X-Frame-Options deny
Header always set Content-Security-Policy "default-src 'self' data: blob: *.google.com *.gstatic.com; style-src 'self' 'unsafe-inline' *.google.com *.googleapis.com; script-src 'self' 'unsafe-inline' *.googleapis.com *.google.com;"
</Location>
如果我们没有这些依赖怎么办?我们应该如何设置我们的?
我在一家提供软件服务的初创公司工作,最近我们制定了加密安全标准。对于散列,设定的标准是我们应该使用 SHA-512 或 SHA-256。
对于Java,我们正在考虑使用Spring的Bcrypt或Argon2。实际上阅读他们的文档,如果他们的底层算法使用 SHA-512 或 SHA-256 或其他东西,找不到任何信息?
或者这些都是过时的哈希算法,我们应该使用其他算法吗?
谁可以帮我这个事?
AWS SSO 与 Okta 相比,SSO 实施的最佳选择是什么?我专门寻找每种服务的优点和缺点,以确定最适合我的系统的服务。这些考虑因素最重要
成本
集成 - 支持与现有目录服务和移动/Web 应用程序(SAML、ADFS 等)集成
轻松访问日志进行审计