昨天練習了Cross site scripting
今天來講講由Google提供來協助開發人員
一個好用的評估小工具CSP Evaluator
版面整潔清楚易懂簡單好上手
Cross site scripting一直是主要的網頁安全漏洞
Google基於大規模研究,開發出CSP Evaluator工具
由於多數開發人員不清楚CSP該如何繞過
這個工具可用來協助開發人員強化Web安全性
https://csp-evaluator.withgoogle.com/
要預防Cross site scripting漏洞
我們可在 HTTP Header 加入 Content Security Policies(CSP)
也可利用本工具來驗證設定成效
此工具有助於識別CSP設置能否被繞過
也會根據評估測試結果來給予一些調整上的建議
以下為https://github.com/的載入結果。
也有提供安全及不安全的sample結果可以參考。
不安全
安全
就算自己非專業的測試人員
也可以利用工具CSP Evaluator協助我們驗證預防XSS成效哦~
iThome鐵人賽
看影片追技術