Autor Zpráva
it47
Profil
Ahojte,

potreboval by som zakazat nacitanie jedneho .js subora z inej webovej stranky cez php (nie htaccess),

t.j. na stranke www.stranka.sk potrebujem zakazat nacitanie skriptu z www.inastranka/script.js.

Je to prosim mozne?

Vopred dakujem velmi pekne.

it47
Tomášeek
Profil
it47:
Proč ten script linkuješ, když ho nechceš?
Keeehi
Profil
Content Security Policy (CSP)
Ale fungovat to bude jen v prohlížečích, které to podporují. Je to tedy spíš druhotná ochrana. Základem je, jak už pásl Tomášeek, ho na stránky nedávát. CSP jsou až pro případ, že by jsi to udělal nějak špatně a takový script se na stránky náhodou dostal.
it47
Profil
Tomášeek:
pretoze musim linkovat jeden skript, ale ten skript este vnutri nacitava jeden .js. ktory nechcem. Takze to musim nejakym sposobom zablokovat.

Keeehi:
a vedel by si mi prosim ta napisat ako cez php pouzijem Content Security Policy (CSP) ? Nejako cez header?
A chcem tak, ze povolujem vsetky skripty okrem subora www.inastranka/script.js.

Vopred dakujem velmi pekne.
Keeehi
Profil
it47:
Nejako cez header?
Ano, přesně tak. Je to hlavička jako každá jiná.

A chcem tak, ze povolujem vsetky skripty okrem subora www.inastranka/script.js.
CSP fungují přesně opačně. Je to whitelist a ne blacklist. Tudíž místo vyjmenování všech zakázaných musíš vyjmenovat ty povolené. Kdyby to fungovalo jako blacklist, šlo by to velmi jednoduše obejít jen pouhou změnou adresy.

pretoze musim linkovat jeden skript, ale ten skript este vnutri nacitava jeden .js. ktory nechcem.
Tak ten skript stáhni k sobě, vymaž z něj tu část co se ti nelíbí a použij tu. To je pravděpodobně to správné řešení.
it47
Profil
Keeehi:
Ano, přesně tak. Je to hlavička jako každá jiná.

Dakujem pekne za vysvetlenie.

A vedel by si mi prosim ta pomoct ako by mal presne vyzerat ten header, ktory moze nacitat iba vsetky subory vramci vlastnej domeny?

Vopred dakujem velmi pekne.

it47
Tomášeek
Profil
it47:
Zapomeň na to, že to nějak jde.

Hledej způsob, jak linkovat jen to, co chceš/potřebuješ. Řešení máš v #5 na konci.
Keeehi
Profil
Content-Security-Policy: default-src 'self'
Tohle dovolí linkovat soubory jen ze stejné domény. Což je přesně to co jsi napsal, i když si myslím, že jsi nedomyslel důsledky. A ty jsou - Nebudou fungovat žádné inline deklarace (javascript a styly zapsané přímo ve stránce) - všechno musí být v souborech. A ono je to tak ve většině případů správně.

Ale jak už jsem psal, CSP jsou jen druhotná ochrana. Pro případ, že by selhala primární ochrana. Slouží jen ke zvýšení ochrany zabezpečení. Samotné ji ale nezajistí.
it47
Profil
Keeehi:
dakujem pekne, a ked chcem povolit nacitat vsetko z vlastnej domeny, 3 dalsie domeny a potom aj tie 'unsafe-inline' tak ako to prosim ta spravim?

nejako takto by som si to predstavoval, ale nefunge to ;-((
header("Content-Security-Policy: default-src 'self' 'unsafe-inline' *.domena1.sk *.domena2.sk *.domena3.sk;")

Vopred dakujem velmi pekne.

Vaše odpověď

Mohlo by se hodit


Prosím používejte diakritiku a interpunkci.

Ochrana proti spamu. Napište prosím číslo dvě-sta čtyřicet-sedm: