Sentry安全策略配置
阿新 • • 發佈:2018-11-08
Sentry提供了通過設定正確的HTTP標頭來收集有關內容安全策略(CSP)違規以及Expect-CT和HTTP公鑰鎖定(HPKP)故障的資訊的能力,這會導致違規/失敗傳送到Sentry report-uri中指定的端點。
整合過程包括使用在專案設定>安全標題中找到的專案金鑰的安全標頭端點配置相應的標頭。
一、CSP
內容安全策略(CSP)是一種安全標準,有助於防止在可信網頁上下文中執行惡意內容導致的跨站點指令碼(XSS),點選劫持和其他程式碼注入攻擊。它由瀏覽器供應商強制執行,Sentry支援使用標準報告掛鉤捕獲CSP違規。
要在Sentry中配置CSP報告,您需要從伺服器傳送描述策略的標頭,並指定經過身份驗證的Sentry端點:
Content-Security-Policy: ...; report-uri https://sentry.io/api/<project-id>/security/?sentry_key=<key>
或者,您可以將CSP報告設定為僅傳送報告而不是實際執行策略:
Content-Security-Policy-Report-Only: ...; report-uri https://sentry.io/api/<project-id>/security/?sentry_key=<key>
二、Expect-CT
Expect-CT是一種安全標準,可幫助跟蹤和識別有效證書,從而識別惡意頒發的證書。
要在Sentry中配置報告,您需要從伺服器配置Expect-CT標頭:
Expect-CT: ..., report-uri="https://sentry.io/api/<project-id>/security/?sentry_key=<key>"
三、HPKP
HPKP是一種安全功能,它告訴Web客戶端將特定加密公鑰與某個Web伺服器相關聯,以降低使用偽造證書進行MITM攻擊的風險。它由瀏覽器供應商強制執行,Sentry支援使用標準報告掛鉤捕獲違規。
要在Sentry中配置HPKP報告,您需要從伺服器傳送描述策略的標頭,並指定經過身份驗證的Sentry端點:
Public-Key-Pins: ...; report-uri="https://sentry.io/api/<project-id>/security/?sentry_key=<key>"
四、附加配置
除了sentry_key引數之外,您還可以在報告URI的查詢字串中傳遞以下內容:
sentry_environment: The environment name (e.g. production).
sentry_release: The version of the application.