Am facut o serie de setari de securitate pentru a duce siteul de la asta:
la asta:
Ceea ce pe moment a cam nenorocit din functionalitate. Am corectat tot ceea ce mi s-a parut suficient de evident si ce a dat erori in debug, insa daca cumva dati peste imagini care nu se incarca sau scripturi care nu se executa corect atunci va rog sa-mi lasati un comentariul cu linkul paginii.
ACTUALIZARE: Am scos „Content-Security-Policy”, iar nivelul de securitate o sa ramana B:
Am facut asta din doua motive. Primul e ca imi cauza o latenta de 4 secunde peste timpul de raspuns normal (multumesc Ice), iar al doilea e ca presupunea sa fac un whitelist pentru fiecare host in parte de pe care incarc elemente media gen CSS, JS, font, imagini sau frameuri. Ori lucrul asta presupune o munca colosala mai ales pe un blog unde exista integrari externe.
Utilizarea unui header precum „Content-Security-Policy” mi se pare o implementare destul de rudimentara pentru mainstream, dar desigur eu n-am site de banca sa-mi pese. Chiar si asa nivelul de protectie conferit de headerul in cauza se poate obtine utilizand un WAF (Web Application Firewall).