Content Security Policy, Pengamanan Web APPS

Salah satu dari banyak teknik untuk mengamankan web apps, atau aplikasi web based yaitu dengan menerapkan syntax Content-security-policy

Misal kasus seperti ini ::

1. ada user web apps yang paham kodingan kode dan punya akses login ke aplikasi, 
2. user itu membuat suatu file php di hosting pribadi dia dengan syntax yang isinya hal random atau perintah untuk membuat backdoor atau mengirim data data penting ke attaccker dengan nama file customfile_attacker.php
3. kemudian dia melakukan input ke system dengan syntax <script src='customfile_attacker.php'></script>
4. setiap data ini di panggil maka isi syntax di dalam customfile_attacker.php akan dianggap sebagai kesatuan dari file kodingan system.

solusi ::

untuk framework CI ::

buka application/config/config.php ,cari kodingan $config['global_xss_filtering'],ubah statusnya jadi true

settingan ini akan membuat semua input source url di blok oleh CI,

solusi lain adalah menambah content security policy ::

syntax php 

header("Content-Security-Policy: default-src *; style-src 'self' 'unsafe-inline';  img-src * 'self' data: https:; script-src 'self' 'unsafe-inline' 'unsafe-eval'; X-Content-Type-Options 'nosniff'");

atau syntax html :

<meta http-equiv="Content-Security-Policy"

            content="default-src *; style-src 'self' 'unsafe-inline'; img-src * 'self' data: https:; script-src 'self' 'unsafe-inline' 'unsafe-eval'">

.

Content security policy ini berarti tidak memperbolehkan source / sumber daya dari website lain selain dari web server aplikasi ini.

jika akan menambahkan exception bisa di tambahkan url web spesifik di dalam scope CSP serpti dibawah :

header("Content-Security-Policy:frame-src 'self' data: base64: storage.googleapis.com; default-src *; style-src 'self' 'unsafe-inline'; img-src * 'self' data: https: storage.googleapis.com; object-src 'self'  blob: filesystem:; script-src 'self' 'unsafe-inline' 'unsafe-eval';");

.