ICode9

精准搜索请尝试: 精确搜索
首页 > 其他分享> 文章详细

Sentry 监控 - Security Policy 安全策略报告

2021-09-23 12:36:07  阅读:249  来源: 互联网

标签:Web Sentry HTTP sentry 安全策略 https Policy Security


系列

目录

  • Content-Security-Policy
  • Expect-CT
  • HTTP Public Key Pinning
  • 附加配置
  • Sentry 21.8.0 开源版生产截图

Sentry 能够通过设置适当的 HTTP header 来收集有关 Content-Security-Policy (CSP) 违规行为以及 Expect-CTHTTP Public Key Pinning (HPKP) 失败(failures)的信息,这会让违规/失败(violation/failure)发送到 report-uri 中指定的 Sentry 端点。

Content-Security-Policy

Content-Security-Policy (CSP) 是一种安全标准,有助于防止跨站点脚本 (XSS)点击劫持(clickjacking)和其他由于在受信任的网页上下文中执行恶意内容而导致的代码注入攻击。它由浏览器厂商强制执行,Sentry 支持使用标准报告 Hook 捕获 CSP 违规。

要在 Sentry 中配置 CSP 报告,您需要从服务器发送一个 header 来描述您的策略,并指定经过身份验证的 Sentry 端点:

Content-Security-Policy: ...; report-uri https://o0.ingest.sentry.io/api/0/security/?sentry_key=examplePublicKey

或者,您可以设置 CSP 报告以简单地发送报告而不是实际执行策略:

Content-Security-Policy-Report-Only: ...; report-uri https://o0.ingest.sentry.io/api/0/security/?sentry_key=examplePublicKey

在定义您的策略时,确保 sentry.io 或您的自托管 sentry 域 在您的 default-srcconnect-src 策略中很重要,否则浏览器将阻止提交违反策略的请求。

有关更多信息,请参阅 MDN 上的文章。

Expect-CT

Certificate Transparency (CT) 是一种安全标准,可帮助跟踪和识别有效证书,允许识别恶意颁发的证书。

要在 Sentry 中配置报告,您需要从服务器配置 Expect-CT header:

Expect-CT: ..., report-uri="https://o0.ingest.sentry.io/api/0/security/?sentry_key=examplePublicKey"

有关更多信息,请参阅 MDN 上的文章。

HTTP Public Key Pinning

HTTP Public Key Pinning (HPKP) 是一种安全功能,它告诉 Web 客户端将特定的加密公钥(public key)与某个 Web 服务器相关联,以降低使用伪造证书进行 MITM 攻击的风险。 它由浏览器厂商强制执行,Sentry 支持使用标准报告 Hook 捕获违规行为。

要在 Sentry 中配置 HPKP 报告,您需要从服务器发送一个 header 来描述您的策略,并指定经过身份验证的 Sentry 端点:

Public-Key-Pins: ...; report-uri="https://o0.ingest.sentry.io/api/0/security/?sentry_key=examplePublicKey"

有关更多信息,请参阅 MDN 上的文章。

附加配置

除了 sentry_key 参数,您还可以在 report URI 的查询字符串中传递以下内容:

sentry_environment

  • 环境名称(例如 production)。

sentry_release

  • 应用程序的版本。

Sentry 21.8.0 开源版生产截图

标签:Web,Sentry,HTTP,sentry,安全策略,https,Policy,Security
来源: https://www.cnblogs.com/hacker-linner/p/15323665.html

本站声明: 1. iCode9 技术分享网(下文简称本站)提供的所有内容,仅供技术学习、探讨和分享;
2. 关于本站的所有留言、评论、转载及引用,纯属内容发起人的个人观点,与本站观点和立场无关;
3. 关于本站的所有言论和文字,纯属内容发起人的个人观点,与本站观点和立场无关;
4. 本站文章均是网友提供,不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属;如您发现该文章侵犯了您的权益,可联系我们第一时间进行删除;
5. 本站为非盈利性的个人网站,所有内容不会用来进行牟利,也不会利用任何形式的广告来间接获益,纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。

专注分享技术,共同学习,共同进步。侵权联系[81616952@qq.com]

Copyright (C)ICode9.com, All Rights Reserved.

ICode9版权所有