Blog de programación, errores, soluciones

Chose Language:
Author: Admin/Publisher |not finished |not checked

CSP en PHP

Las siglas de CSP significan Content security policy esta es una capa adicional de seguridad, en este caso veremos como aplicar CSP en PHP.

La CSP nos permite inhabilitar la carga de varios tipos de scripts, css, archivos, etc; así también como habilitarlos.

La razón principal de la existencia del CSP es el intento de evitar el Cross Site Scripting (XSS).

El tener un CSP en tu página reducirá notoriamente el ataque a tu página web.

Directivas

https://blastcoding.com/csp-en-php/#directivas

CSP pose muchas directivas las cuales podemos utilizar, estas nos permiten definir donde estamos aplicando una limitación o permitiendo una acción.

Las directivas determinan que procedimientos o acciones se realizaran con respecto a una url dada

podemos ver todas las directivas en https://content-security-policy.com/

Veamos las directivas mas utilizadas

default-src

es la directiva predefinida para(JavaScript, imágenes, CSS, fuentes, solicitudes AJAX, marcos, medios HTML5). Esto quiere decir que si una la una de las siguientes directivas no esta presente default se encargara (script-src, style-src, img-src, font-src, connect-src, media-src y object-src)

script-src

Define las fuentes de Javascript

style-src

fuentes para estilos en linea o CSS

connect-src

fuentes para XMLHttpRequest (AJAX), WebSocketfetch()<a ping> or EventSource

font-src

Procedencia de las fuentes

object-src

fuente o procedencia valida para plugins, eg <object><embed> o <applet>

media-src

Define la procedencia de videos y audios <audio><video>

frame-src

este estuve en duda si ponerlo ya que los frame no están tan bien visto que se usen pero google muchas veces lo usa cuando estamos usando alguna de sus apis por ejemplo google maps, google adsense, analytics u otra.

Define la procedencia valida para carga los frames

form-action

fuente valida para un formulario HTML

base-uri

Define las urls permitidas para el uso en el atributo src de una etiqueta HTML.

herramientas que nos puede ayudar al crear nuestro CSP

https://blastcoding.com/csp-en-php/#herramientas

Herramientas:

  • inspector (herramienta del navegador firefox)
  • https://csp-evaluator.appspot.com/ o similar

Como usaríamos el inspector, pues su uso es simple, abrimos el inspector de firefox con click derecho > inspecionar. Una vez abierto el inspector debemos saber como obtener nuesto CSP.

Para obtener la CSP debes ir a Red o network dependiendo en que idioma tengas el navegador.

Cuando entremos a una página recargaremos la página e iremos al primer GET dentro de network(red), dentro de la pestaña de red deberíamos tener otra ventana con las siguientes pestañas (cabeceras, cookies, solicitud, respuesta, tiempos y seguridad). Clickea en cabecera

dentro de cabeceras buscaremos content-security-policy y su contenido.

este contenido podremos copiarlo y pasarlo por el evaluator.

Crear el CSP en PHP

https://blastcoding.com/csp-en-php/#creacion

Para PHP podemos usar la función header para crear nuestro content security policy(CSP). Mi recomendacion es ponerla dentro de una función y así usarla directamente en nuesto header o si estamos usando wordpress utilizar algo como

add_action('wp_headers', 'add_content_security_policy_header',1);
function add_content_security_policy_header() {
    global $nonce;
	header("Content-Security-Policy:".
	"default-src 'self' ".
		"https://*.web1.com/ ".
		"https://www.web2.com; ".
	"script-src ".
		base()." ".
		"'nonce-$nonce'; ".
	"style-src 'self' ". 
		"'unsafe-inline' ".
		"'nonce-".$nonce."'; ".
	"img-src 'self' ".
		"https://* data: ; ".
	"font-src 'self' ".
		"data: ".
		"https://ka-f.fontawesome.com; ".
	"connect-src 'self' ".
		"https://www.google-analytics.com ".
		"https://*.googlesyndication.com/ ".
		"https://www.google.com/ ".
		"https://fundingchoicesmessages.google.com ".
		"https://ka-f.fontawesome.com/; ".
	"base-uri 'self'; ".
		"");
}
  • el nonce es un numero aleatorio solo usado una vez. este se usa para los script en linea, ya que no deberíamos usar inline-unsafe sino un nonce o un hash.
  • en caso de usar estilos deberemos usar inline-unsafe, nonce no funciona en los estilos
  • La idea del nonce es que este no se pueda saber por el atacante, crear un numero random puede servir como nonce, el numero debe ser grande, no haga números random pequeños.
  • En el caso de usar nonce en nuestro proyecto debemos hacer que este sea único, recuerda que PHP tiene algunas funciones q cumplen con esto, no uses el tiempo como nonce, eso seria u n grave error.
  • Por otro lado, también hay paquetes de terceros que se encargan de esto.
Category: php
Related Posts: PHP header
Something wrong? If you found an error or mistake in the content you can contact me on Twitter | @luisg2249_luis.
Post info
Author:Luis Gomez Created: 28th Jul 2023 Last Update: 24th Feb 2024
Last 4 post in same category

HTML5-el nuevo lazy loading

¿Qué son las APIs?

Como recibir datos enviados mediante el método POST en PHP

Como usar NGINX y PHP en Windows