mixed contentには二種類 active mixed content = DOMいじれる passive mixed content = DOMいじれない #t_wada_sushi
2017-01-23 20:57:39はてな記法でiframeの先のサイトがHTTPだと死ぬので、簡単に移行できない。 ユーザーが自由に入力できるサイトは同じ問題 #t_wada_sushi
2017-01-23 21:01:21#t_wada_sushi "‘HTTP_UPGRADE_INSECURE_REQUESTS’って何?(Upgrade-Insecure-Requests: 1) at softelメモ" softel.co.jp/blogs/tech/arc…
2017-01-23 21:04:07#t_wada_sushi "Chrome 43でUpgrade Insecure Requestsに対応してた - あすのかぜ" d.hatena.ne.jp/ASnoKaze/20150…
2017-01-23 21:04:40#t_wada_sushi "CSP: block-all-mixed-content - HTTP | MDN" developer.mozilla.org/en-US/docs/Web…
2017-01-23 21:06:43#t_wada_sushi passive mixed contentでも表示しない。 "CSP: block-all-mixed-content - HTTP | MDN" developer.mozilla.org/en-US/docs/Web…
2017-01-23 21:06:56CSP: block-all-mixed-content はpassiveでもひっかかるので、CSP reportで管理者はmixed contentを知ることができる。 #t_wada_sushi
2017-01-23 21:07:40XSSがなくてもCSPのinline scriptのreportが来る。 Chrome拡張、ブックマークレットとかクライアントはノイズデータが多い #t_wada_sushi
2017-01-23 21:11:23#t_wada_sushi 「CSP は report-only モードで動作させることが可能です」 "Content Security Policy (CSP) - Web セキュリティ | MDN" developer.mozilla.org/ja/docs/Web/Se…
2017-01-23 21:12:07ウェブサービスがHTTPSに移行する場合は、CSPにはreport-onlyで実際の状態を集めてから判断するのが良い #t_wada_sushi
2017-01-23 21:12:55CSPのreportは発生した瞬間にreportされる。 特にqueueとかはされないし、HTTP/2対応してない。 #t_wada_sushi
2017-01-23 21:15:26