Diskuse JPW: Zablokovanie nacitanie .js z inej stranky cez php

	Autor	Zpráva
	it47 Profil	#1 · Zasláno: 4. 10. 2017, 08:59:50 Odpovědět Citovat Ahojte, potreboval by som zakazat nacitanie jedneho .js subora z inej webovej stranky cez php (nie htaccess), t.j. na stranke www.stranka.sk potrebujem zakazat nacitanie skriptu z www.inastranka/script.js. Je to prosim mozne? Vopred dakujem velmi pekne. it47
	Tomášeek Profil	#2 · Zasláno: 4. 10. 2017, 09:47:18 Odpovědět Citovat it47: Proč ten script linkuješ, když ho nechceš?
	Keeehi Profil	#3 · Zasláno: 4. 10. 2017, 10:04:22 Odpovědět Citovat Content Security Policy (CSP) Ale fungovat to bude jen v prohlížečích, které to podporují. Je to tedy spíš druhotná ochrana. Základem je, jak už pásl Tomášeek, ho na stránky nedávát. CSP jsou až pro případ, že by jsi to udělal nějak špatně a takový script se na stránky náhodou dostal.
	it47 Profil	#4 · Zasláno: 4. 10. 2017, 13:18:40 Odpovědět Citovat Tomášeek: pretoze musim linkovat jeden skript, ale ten skript este vnutri nacitava jeden .js. ktory nechcem. Takze to musim nejakym sposobom zablokovat. Keeehi: a vedel by si mi prosim ta napisat ako cez php pouzijem Content Security Policy (CSP) ? Nejako cez header? A chcem tak, ze povolujem vsetky skripty okrem subora www.inastranka/script.js. Vopred dakujem velmi pekne.
	Keeehi Profil	#5 · Zasláno: 4. 10. 2017, 14:11:41 · Upravil/a: Keeehi o minutu později Odpovědět Citovat it47: „Nejako cez header?“ Ano, přesně tak. Je to hlavička jako každá jiná. „A chcem tak, ze povolujem vsetky skripty okrem subora www.inastranka/script.js.“ CSP fungují přesně opačně. Je to whitelist a ne blacklist. Tudíž místo vyjmenování všech zakázaných musíš vyjmenovat ty povolené. Kdyby to fungovalo jako blacklist, šlo by to velmi jednoduše obejít jen pouhou změnou adresy. „pretoze musim linkovat jeden skript, ale ten skript este vnutri nacitava jeden .js. ktory nechcem.“ Tak ten skript stáhni k sobě, vymaž z něj tu část co se ti nelíbí a použij tu. To je pravděpodobně to správné řešení.
	it47 Profil	#6 · Zasláno: 4. 10. 2017, 14:27:13 Odpovědět Citovat Keeehi: „Ano, přesně tak. Je to hlavička jako každá jiná.“ Dakujem pekne za vysvetlenie. A vedel by si mi prosim ta pomoct ako by mal presne vyzerat ten header, ktory moze nacitat iba vsetky subory vramci vlastnej domeny? Vopred dakujem velmi pekne. it47
	Tomášeek Profil	#7 · Zasláno: 4. 10. 2017, 14:42:27 Odpovědět Citovat it47: Zapomeň na to, že to nějak jde. Hledej způsob, jak linkovat jen to, co chceš/potřebuješ. Řešení máš v #5 na konci.
	Keeehi Profil	#8 · Zasláno: 4. 10. 2017, 14:49:33 Odpovědět Citovat Content-Security-Policy: default-src 'self' Tohle dovolí linkovat soubory jen ze stejné domény. Což je přesně to co jsi napsal, i když si myslím, že jsi nedomyslel důsledky. A ty jsou - Nebudou fungovat žádné inline deklarace (javascript a styly zapsané přímo ve stránce) - všechno musí být v souborech. A ono je to tak ve většině případů správně. Ale jak už jsem psal, CSP jsou jen druhotná ochrana. Pro případ, že by selhala primární ochrana. Slouží jen ke zvýšení ochrany zabezpečení. Samotné ji ale nezajistí.
	it47 Profil	#9 · Zasláno: 4. 10. 2017, 15:53:19 Odpovědět Citovat Keeehi: dakujem pekne, a ked chcem povolit nacitat vsetko z vlastnej domeny, 3 dalsie domeny a potom aj tie 'unsafe-inline' tak ako to prosim ta spravim? nejako takto by som si to predstavoval, ale nefunge to ;-(( header("Content-Security-Policy: default-src 'self' 'unsafe-inline' .domena1.sk .domena2.sk *.domena3.sk;") Vopred dakujem velmi pekne.
		Časová prodleva: 7 let

Vaše odpověď

Mohlo by se hodit