Заголовки для безопасности

[pepelsbey]

• [x] MISSING Referrer-Policy
• [x] MISSING Content-Security-Policy
• [x] MISSING X-Frame-Options
• [x] MISSING X-Xss-Protection
• [x] MISSING X-Content-Type-Options

SecurityHeaders.io — wsd.events

[h4]

Ок, добавлю. Хотел спросить — что это за фигня вообще, а там по ссылке всё разжевано. Молодцы ребята.

[h4]

На паузе, пока с сертификатом нормально не разберёмся.

[h4]

Там nginx стал как-то странно перезапускаться, пока что опасаюсь править конфиги, чтобы всё не разломать.

[jahson]

C nginx это я накосячил как-то, всё никак не пойму, как. Пока что конфиги можно перезагружать через sudo nginx -s reload.

С CSP там целая отдельная история и нужно решить, какова политика партии. Но есть возможность не мучать людей, так что поле для экспериментов открыто. Плюс, в комментариях есть ссылка на генератор.

[jahson]

А вот кажется и про наш nginx.

UPD: Впрочем, пока до конца понять не могу. restart вроде бы работает, а вот с reload фигня какая-то. Впрочем, рецепт выше всё равно работает. UPD 2: Там пишут, что при наличии обоих конфигов выходит лажа. Видимо у нас она.

[pepelsbey]

Уточнил ссылку, теперь с HTTPS.

[pepelsbey]

Осталось 2 заголовка. Кто-нибудь поможет добить CSP и Referrer-Policy?

[h4]

Довёл до A-Grade. A+ не получается из-за необходимости включать 'unsafe-eval' для того, чтобы всё работало (точно отваливается карта).

[pepelsbey]

Крутой! Спасибо :)

[h4]

@pepelsbey будет время — посмотри, не отвалилось ли что в передаче данных в метрике. Ну и весь сайт было бы неплохо прокликать с открытой консолью.

[pepelsbey]

Для Киева грузим Google Maps, надо их добавить в CSP, см. https://wsd.events/2017/11/04/

Но как красиво работает фолбэк на <img>, просто кайф %)

[h4]

Fixed.

[pepelsbey]

Спасибо!