Content Security Policy By Pass
September 04, 2020
2 min
Security Header
Security Header
มาทำ Security header ให้ firebase hosting ให้ได้ rang A กันเถอะ
โดยเราจะเข้าไป check ranking ได้จาก website “securityheaders”
เริ่มจากเกิดความสงสัยว่า เอ้ย ถ้าเราใช้ firebase hosting เนี่ย จะตั้งค่า security header ยังไงหว่า
เพราะลองเอาเวปตัวเองไป check บน “securityheaders” พบว่าได้ rank F แล้วจะทำยังไงดีให้มันได้ rank A
ก็ต้องไปตามแก้ ตาม list นี้ให้หมด
- Strict-Transport-Security
- Content-Security-Policy
- X-Frame-Options
- X-Content-Type-Options
- Referrer-Policy
- Feature-Policy
โดยเราจะไปเพิ่ม header ในไฟล์ firebase.json อยากเพิ่มอะไร ก็ไปจัดการข้างในได้เลย
{"hosting": {"headers": [{"source": "**","headers": [{"key": "Content-Security-Policy","value": "script-src 'self' www.google-analytics.com"},{"key": "Content-Security-Policy","value": "font-src 'self' fonts.gstatic.com"},{"key": "X-Frame-Options","value": "DENY"},{"key": "X-Content-Type-Options","value": "nosniff"},{"key": "Referrer-Policy","value": "no-referrer-when-downgrade"},{"key": "Feature-Policy","value": "document-domain 'self'"}]}],"public": "public","ignore": ["firebase.json","**/.*","**/node_modules/**"],}}
เพิ่มเสร็จแล้วทำการ
firebase deploy --only hosting
เป็นอันจบ ก็จะได้ rank A มาเรียบร้อยยยยยยยยยยยยยย
Operator
Khomkrid Lerdprasert
Technical Lead — building AI-powered platforms, omni-channel chat systems, and telemedicine solutions with Go, Next.js & clean architecture. 20+ years shipping software from crypto wallets to e-learning systems. Bangkok-based. Writes code late at night, brews beer on weekends.
Metadata
Channel
Hack101
Filed
September 03, 2020
Read
~1 min
Language
TH / EN
Transmit
Related
Line Notify with firebase cloud function
August 09, 2020
1 min
Aircrack Ng หารหัส wifi ที่บ้าน
October 16, 2021
1 min
DVWA Javascript Attacks
September 07, 2020
2 min
Stored Cross Site Scripting (XSS)
September 01, 2020
1 min
Reflected Cross Site Scripting (XSS)
August 31, 2020
1 min