PCI合规性+嵌入iframe +安全风险

时间:2016-06-23 20:23:45

标签: apache security x-frame-options pci-compliance

我正在开发一个需要设置Content-Security-Policy标题的网站,以禁止通过iframe嵌入该网站。这是最近的PCI审计的结果。但是,我们需要通过iframe进行嵌入。此端点公开了视频播放器。

我们提出的解决方案是:

  1. 禁止嵌入所有页面
  2. 允许嵌入播放器页面

    3. Apache vhost文件:

    Header add Content-Security-Policy "default-src * data: 'unsafe-inline' 'unsafe-eval'; frame-ancestors 'self';"

<Location /video-player/index.php>
    Header set Content-Security-Policy "default-src * data: 'unsafe-inline' 'unsafe-eval'; frame-ancestors %{HTTP_REFERER}e;"
</Location>

    问题

    1. 直接在标题上使用%{HTTP_REFERER}e字符串是否存在安全风险?
    2. 有没有办法在Apache中清理这个值?
    3. 是否有更好的方法来处理特殊情况下的一个URL?不幸的是,我们不能只使用通配符,因为如果使用通配符,浏览器将忽略标题。

1 个答案:

答案 0 :(得分:0)

为什么不简单地使用:

Header add Content-Security-Policy "default-src * data: 'unsafe-inline' 'unsafe-eval'; frame-ancestors 'self';"

<Location /video-player/index.php>
    Header set Content-Security-Policy "default-src * data: 'unsafe-inline' 'unsafe-eval';"
</Location>
相关问题
最新问题