Am facut o serie de setari de securitate pentru a duce siteul de la asta:
la asta:
Ceea ce pe moment a cam nenorocit din functionalitate. Am corectat tot ceea ce mi s-a parut suficient de evident si ce a dat erori in debug, insa daca cumva dati peste imagini care nu se incarca sau scripturi care nu se executa corect atunci va rog sa-mi lasati un comentariul cu linkul paginii.
ACTUALIZARE: Am scos “Content-Security-Policy”, iar nivelul de securitate o sa ramana B:
Am facut asta din doua motive. Primul e ca imi cauza o latenta de 4 secunde peste timpul de raspuns normal (multumesc Ice), iar al doilea e ca presupunea sa fac un whitelist pentru fiecare host in parte de pe care incarc elemente media gen CSS, JS, font, imagini sau frameuri. Ori lucrul asta presupune o munca colosala mai ales pe un blog unde exista integrari externe.
Utilizarea unui header precum “Content-Security-Policy” mi se pare o implementare destul de rudimentara pentru mainstream, dar desigur eu n-am site de banca sa-mi pese. Chiar si asa nivelul de protectie conferit de headerul in cauza se poate obtine utilizand un WAF (Web Application Firewall).
Mergea destul de greut si pana acum … de amu merge infiorator de greu, am crezut ca ai belele la host la cat a stat sa se incarce.
Ugh! Aparent headerul de “Content-Security-Policy” creaza o latenta de 4 secunde singur. Si mai sunt cateva spurcaciuni. Multumesc pentru info. Am scos “Content-Security-Policy” si ma uit la restul.
Deja este mult mai bine! 🙂
Am scos si mod_pagespeed ca era mai mult degeaba.