CSP en android?

Status
Niet open voor verdere reacties.
F

fsasfsas

Gebruiker
Lid geworden
11 sep 2006
Berichten
429
Dag

Ik ben een website aan het maken en dacht een redelijk strakke beveiliging gevonden te hebben met een CSP header. Dit werkt prima, alleen blijkt nu dat op sommige telefoons de plaatjes niet geladen worden. De CSP bevat
Code: 
default-src 'none';
en
Code: 
style-src 'self'
. Als ik deze laatste versoepel, bv met
Code: 
style-src *;
dan lukt het wel. het lijkt er op dat de android telefoons er moeite mee hebben. Ik heb twee vragen:
(1) zie ik iets over het hoofd en moet ik ergens iets neerzetten zodat ook android het begrijpt?
(2) als (1) niet het geval is, is door de wijziging alle locaties van plaatjes toe te staan de veiligheid van de site in gevaar? Ik sta nergens toe plaatjes te uploaden. Het zijn in principe allemaal "statische" plaatjes. Moet ik eventueel (als het met (1) niet op te lossen is) een ander soort beveiliging op de plaatjes zetten?

met vriendelijke groeten, Anjo
 
Een bezoeker moet centraal staan dus iets losser zetten lijkt mij en zorgen dat htaccess op orde is en elke map voorzien van een index.php als die er niet is.
Code: 
header('Expires: Mon, 26 Jul 1997 05:00:00 GMT');
header('Last-Modified: '.gmdate('D, d M Y H:i:s').' GMT');
header('Cache-Control: no-store, no-cache, must-revalidate');
header('Cache-Control: post-check=0, pre-check=0', false);
header('Pragma: no-cache');
// kies een location afhankelijk van submap diepte
header("Location: ../");
//header('Location: ../../');
//header('Location: ../../../');
exit;
 
@bron

Ben ik met je eens. ik heb 'm ook losser gezet en de dirs worden beschermd door een index.php en .htaccess
ik heb alleen niet zo'n goed overzicht over hoe kwetsbaar het dan is. ik heb zelf het idee van niet maar ja, wat je niet weet, weet je niet...

met dank, groetjes, Anjo
 
Status
Niet open voor verdere reacties.
Steun Ons

Nieuwste berichten

Terug
Bovenaan Onderaan