私たちはバックエンドAPIでHSTSを実装しており、コンテンツセキュリティポリシー(CSP)ヘッダーを見つけました。このヘッダーは、画像、ビデオ、スタイルシート、スクリプトなどのリソースをどこからダウンロードできるかをブラウザに伝えます。バックエンドAPIにContent-Security-Policy HTTPヘッダーを使用しますか?
バックエンドAPIは実際にブラウザに表示されないため、このヘッダーを設定する価値はありますか?
は、xssを攻撃するように設計されたテクニックです。つまり、他のリソースに依存しているハイパーメディアを提供することと組み合わせて最も有用です。それはまさに私がAPIで期待するシナリオではありません。それはあなたがそれを使うことができないと言っているわけではありません。本当にあなたの回答にはインタラクティブコンテンツが存在しない場合は、何もこのヘッダを提供するからあなたを保持することができなかった:
Content-Security-Policy: default-src 'none';
はさらに一歩行く、あなたはするためにreport-uriを設定することにより、間に合わせIntrusion Detection Systemのいくつかの並べ替えとしてCSPを使用することができますfetch incoming violation reportsを取得します。それは意図された使用の範囲内にありますが、まだ安いです。
結論として、理論的には、少しの労力でAPIのセキュリティを向上させることができます。実用的には、利点は薄いものではないかもしれません。あなたが気に入ったら、そのヘッダーを送ることに害はないはずです。あなたは、より多くを得ることができます。しかし、suppressing MIME-type sniffing。
他も参照してください。The OWASP Secure Headers Project
全く使用しません。なぜこのヘッダーを追加するつもりですか? APIは_private_であり、ブラウザーからアクセスされることはありません。 –
私はこれを仕事のために読んでいたので、誰かが書いていました。それが奇妙に聞こえてきたので、私はちょうど確認したかった。 –