Здравствуйте!
Подскажите пожалуйста, для защиты скрипта необходимо экранировать данные переданные через $_GET если я, например, использую его так: $id=(int)$_GET["id"]; ?
Сегодня читал про Content-Security-Policy
Это заголовок, который позволяет в явном виде объявить «белый список» источников, с которых можно подгружать различные данные, например, JS, CSS, изображения и пр. Даже если злоумышленнику удастся внедрить скрипт в веб-страницу, он не выполниться, если не будет соответствовать разрешенному списку источников.
Для того чтобы воспользоваться CSP, веб-приложение должно через HTTP-заголовок «Content-Security-Policy» посылать политику браузеру.
только вот не понял где вставить этот код:
CODE ( html):
скопировать код в буфер обмена
Content-Security-Policy: default-src 'self'; script-src trustedscripts.example.com style-src 'self' ajax.googleapis.com; connect-src 'self' https://api.myapp.com realtime.myapp.com:8080; media-src 'self' youtube.com; object-src media1.example.com media2.example.com *.cdn.example.com; frame-src 'self' youtube.com embed.ly
и где, что заменить чтоб работал на моем скрипте?
Помогите пожалуйста.
Заранее спасибо!
|