NelmioSecurityBundle

nelmio / security-bundle包在你的作曲家。json和更新你的依赖关系:

                1
                美元作曲家需要nelmio / security-bundle
               

包应该自动启用 ob娱乐下载Symfony Flex。如果你不使用Flex,您将需要手动启用包中添加以下行配置/ bundles.php您的项目的文件:

                1 2 3 4 5 6 7 8
                < ? php/ /配置/ bundles.php返回(/ /……Nelmio \ SecurityBundle \ NelmioSecurityBundle::类= > [“所有”= >真正的),/ /……];
               

如果你没有一个配置/ bundles.php文件在您的项目中,很可能使用的是旧Symfony的版本。ob娱乐下载在这种情况下,你应该有一个app / AppKernel.php文件代替。编辑这些文件:

                1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19
                < ? php/ / app / AppKernel.php/ /……类AppKernel扩展内核{公共函数registerBundles(){美元包= (/ /……新Nelmio \ SecurityBundle \ NelmioSecurityBundle ()];/ /……}/ /……}
               

hst头这现代浏览器支持让用户可以使用HTTPS即使他们没有HTTPS url输入,避免攻击公共wi - fi。
灵活的HTTPS / SSL处理:如果你不想强迫所有用户使用HTTPS,你至少应该使用安全会话cookie,迫使SSL为登录用户。然后登录用户访问非http资源时出现注销。这不是一个好的解决方案。这将使应用程序检测登录用户和将他们重定向到一个安全的URL,而使会话cookie不安全。

禁用内容类型嗅探:要求脚本加载使用正确的mime类型。这禁用功能,一些浏览器使用内容嗅探来确定响应是一个有效的脚本文件。

XSS保护:启用/禁用微软XSS保护兼容的浏览器(IE 8和更新)。

推荐人的政策:`Referrer-Policy`头添加到所有响应控制`推荐人`头,从你的网站添加到请求,并通过浏览器导航远离你的站点。

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17日18 19 20 21日22日23日24日25日26日27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68

#配置/包/ nelmio_security.yamlnelmio_security:# /验证所有饼干迹象signed_cookie:的名字:(“*”)#阻止整个网站的框架“点击劫持”:道路:“^ / *’。:否认主机:- - - - - -“^ foo \ com美元”- - - - - -“.org \ .example \ $”#防止重定向外网站的域external_redirects:终止:真正的日志:真正的#防止内联脚本,不安全的eval,外部脚本/图片/风格/框架,等等csp:主机:[]content_types:[]执行:level1_fallback:假browser_adaptive:启用:假report-uri:% router.request_context.base_url % / nelmio / csp /报告的default-src:- - - - - -“没有”script-src:- - - - - -“自我”block-all-mixed-content:真正的#默认值为false,块HTTP / HTTPS传输内容# upgrade-insecure-requests:真#默认为假,升级HTTPS传输HTTP请求#禁用脚本资源的内容类型嗅探content_type:nosniff:真正的#微软XSS-Protection与力量#块模式xss_protection:启用:真正的mode_block:真正的report_uri:% router.request_context.base_url % / nelmio / xss /报告的#发送一个完整的URL的“推荐人”“头当执行一个同源请求,#只发送文档安全的目的地的起源(HTTPS - > HTTPS),#和发送没有头更不安全的目的地(HTTPS - > HTTP)。#如果“strict-origin-when-cross-origin”“不支持,使用“no-referrer”政策,#没有推荐人信息一起发送请求。referrer_policy:启用:真正的政策:- - - - - -“no-referrer”- - - - - -“strict-origin-when-cross-origin”#部队HTTPS处理,不结合灵活的模式#和确保你有SSL启用这个之前工作在你的网站上# forced_ssl:# hsts_max_age: 2592000 # 30天# hsts_subdomains:真# redirect_status_code: 302 #默认,切换到301永久重定向#灵活的HTTPS处理,读的详细配置信息#和确保你有SSL启用这个之前工作在你的网站上# flexible_ssl:# cookie_name:身份验证# unsecured_logout:假

default-src,script-src,对象src,style-src,img src,media-src,frame-src,font-src,connect-src,基本uri,child-src,表单动作,frame-ancestors,plugin-types,block-all-mixed-content,upgrade-insecure-requests,report-uri,manifest-src。

您可以提供一组指令/内容类型,除了block-all-mixed-content和upgrade-insecure-requests只有接受布尔值。空的内容类型继承default-src永远不会继承,指定的内容类型default-src。请参见 1.0内容安全政策和2.0内容安全政策规格详情。

每个指令应该是一个域,URI或关键字。关键字“自我”将允许从同源的页面内容。如果你需要允许内联脚本或eval ()您可以使用“unsafe-inline”和“unsafe-eval”。

谨慎

通过使用“unsafe-inline”或“unsafe-eval”你有效的禁用CSP的XSS保护机制。

除了内容类型,政策也接受report-uri它应该是一个URI,浏览器可以发布JSON载荷每当一个政策指令是违反了。

一个可选的content_types关键安全策略允许您限制内容标题只在一些HTTP响应的内容类型。

最后,一个可选的主机键允许您配置的主机名(例如foo.example.orgCSP的规则应该被强制执行。如果列表为空(默认情况下),所有主机名使用CSP规则。

                1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17日18 19 20 21日22日23日24日25日26日27 28 29 30 31 32 33 34 35 36
                #配置/包/ nelmio_security.yamlnelmio_security:csp:启用:真正的report_logger_service:日志记录器主机:[]content_types:[]执行:#请参见下面的完整描述level1_fallback:真正的#只发送指令支持的浏览器,默认值为false#这是一个https://github.com/twitter/secureheaders/blob/83a564a235c8be1a8a3901373dbc769da32f6ed7/lib/secure_headers/headers/policy_management.rb L97港browser_adaptive:启用:假report-uri:% router.request_context.base_url % / nelmio / csp /报告的default-src:(“自我”]frame-src:(“https://www.youtube.com”]script-src:- - - - - -“自我”- - - - - -“unsafe-inline”图片地址:- - - - - -“自我”- - - - - -facebook.com- - - - - -flickr.comblock-all-mixed-content:真正的#默认值为false,块HTTP / HTTPS传输内容# upgrade-insecure-requests:真#默认为假,升级HTTPS传输HTTP请求报告:#请参见下面的完整描述level1_fallback:真正的#只发送指令支持的浏览器,默认值为false#这是一个https://github.com/twitter/secureheaders/blob/83a564a235c8be1a8a3901373dbc769da32f6ed7/lib/secure_headers/headers/policy_management.rb L97港browser_adaptive:启用:真正的report-uri:% router.request_context.base_url % / nelmio / csp /报告的script-src:- - - - - -“自我”
               

上面的配置将执行以下政策:

默认是允许从同源的页面
仅从安全的YouTube连接帧
从同源和内联JavaScript<脚本>标签
从同源图像,facebook.com和flickr.com

任何违反政策将发布执行/ nelmio / csp /报告。

此外,配置只有报告但不执行政策执行JavaScript可能只是当它来自同一个服务器。

包提供了一个默认实现日志报告违规通知默认日志记录器,routing.yml让添加以下:

                1 2 3 4 5
                #配置/包/ nelmio_security.yamlnelmio_security:路径:/ nelmio / csp /报告默认值:{_controller:nelmio_security.csp_reporter_controller: indexAction}方法:(职位)
               

(可选)使用report_logger_service日志的“安全”渠道:

                1 2 3 4
                #配置/包/ nelmio_security.yamlnelmio_security:csp:report_logger_service:monolog.logger.security
               

(可选)禁用compat_headers为了避免X-Content-Security-Policy (IE11 IE10浏览器,Firefox < 23)。这将意味着这些浏览器没有CSP指令。

                1 2 3 4
                #配置/包/ nelmio_security.yamlnelmio_security:csp:compat_headers:假
               

Twitter SecureHeaders图书馆。

使用启用使它的关键:

                 1 2 3 4 5 6
                 #配置/包/ nelmio_security.yamlnelmio_security:csp:执行:browser_adaptive:启用:真正的
                

谨慎

这将解析用户代理,可以使用一些CPU使用率。您可以指定一个缓存解析器来避免消耗太多的CPU:

                  1 2 3 4 5 6 7
                  #配置/包/ nelmio_security.yamlnelmio_security:csp:执行:browser_adaptive:启用:真正的解析器:my_own_parser
                 

和申报服务my_own_parser基于缓存的解析器之一NelmioSecurityBundle提供或你自己的一个。例如,使用PsrCacheUAFamilyParser:

                 1 2 3 4 5
                 <服务id=“my_own_parser”类=“Nelmio \ SecurityBundle \ UserAgent \ UAFamilyParser \ PsrCacheUAFamilyParser”><论点类型=“服务”id=“app.my_cache.pool”/ ><论点类型=“服务”id=“nelmio_security.ua_parser.ua_php”/ ><论点>604800年< /论点>< /服务>
                

在看看吗Nelmio \ SecurityBundle \ UserAgent \ UAFamilyParser这些解析器。

“unsafe-inline”在script-src或style-src(推荐),Nelmio安全包出来的消息摘要的功能。嫩枝是本地支持的。

您可以配置消息摘要算法的配置。

                 1 2 3 4 5 6 7 8 9 10 11 12 13 14
                 #配置/包/ nelmio_security.yamlnelmio_security:csp:散列:算法:sha512#默认sha256,可用sha256, sha384 sha512执行:#提供兼容CSP一级(老/ non-yet-compatible浏览器)当使用CSP级别2#喜欢散列和临时的特性。它添加了一个“unsafe-inline”源指令每当现时标志或散列使用#。从RFC #:“如果‘unsafe-inline不在允许的列表样式来源,或者至少有一个# nonce-source或hash-source存在于列表允许风格来源”#看到https://www.w3.org/TR/CSP2/ directive-style-src和https://www.w3.org/TR/CSP2/ # directive-script-srclevel1_fallback:真正的default-src:['自我']
                

在你的树枝模板使用cspscript和cspstyle标签自动计算消息摘要和插入它在您的头。

                 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15
                 {%cspscript%}<脚本>窗口.api_key =”{{api_key}}”;< /脚本>{%endcspscript%}{#……#}{%cspstyle%}<风格>身体{背景颜色:”{{背景}}”;}< /风格>{%endcspstyle%}
                

如果你不使用树枝,你可以使用消息摘要ContentSecurityPolicyListener,它会自动计算消息摘要,并将它添加到响应CSP头:

                 1 2 3 4 5 6 7 8 9 10
                 美元侦听器- >addScript (“< >脚本窗口。api_key = ' {{api_key}} ';> < /脚本”);美元侦听器- >addStyle (“<时尚> {background:{{背景}},}> < /风格”);
                

csp_nonce函数来访问nonce为当前请求,并将它添加到响应CSP头。如果你不请求现时标志,目前不会生成。

                 1 2 3 4 5 6 7 8 9 10 11
                 <脚本现时标志=”{{csp_nonce(脚本)}}”>窗口.api_key =”{{api_key}}”;< /脚本>{#……#}<风格现时标志=”{{csp_nonce(风格)}}”>身体{背景颜色:”{{背景}}”;}< /风格>
                

如果你不使用树枝,您可以使用与现时标志功能ContentSecurityPolicyListener:

                 1 2 3 4
                 / /第一次生成nonce,返回相同的生成nonce一次美元侦听器- >getNonce (“脚本”);/ /或美元侦听器- >getNonce (“风格”);
                

report-uri你可以很容易地收集违反使用ContentSecurityPolicyController。这里有一个使用配置示例routing.yml:

                 1 2 3 4 5
                 #配置/ routes.yamlcsp_report:路径:/ csp /报告方法:(职位)默认值:{_controller:nelmio_security.csp_reporter_controller: indexAction}
                

这部分的配置有助于收集到这个端点过滤噪音:

                 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21日22日23日24日25日26日
                 #配置/包/ nelmio_security.yamlnelmio_security:csp:report_endpoint:log_level:“通知”#使用适当的log_levellog_formatter:~#声明一个服务名称,必须实现Nelmio \违反SecurityBundle \ ContentSecurityPolicy \ \ \ LogFormatterInterface日志log_channel:~#申报通道使用日志记录器过滤器:#过滤假阳性报告给定域列表域:真正的#过滤假阳性报告计划列表计划:真正的#过滤假阳性报告给浏览器的bugbrowser_bugs:真正的#过滤假阳性报告给出已知注入脚本injected_scripts:真正的#你可以添加自定义过滤规则通过实现Nelmio违反\ SecurityBundle \ ContentSecurityPolicy \ \ \ NoiseDetectorInterface进行过滤#和标签服务与“nelmio_security.csp_report_filter”解散:# kv的列表应该被解雇#一个关键域或一个正则表达式#值是一个来源或来源的数组。‘*’wilcard接受' / ^数据::“script-src”' / ^ https ?: \ / \ / \ d + \ \ d + \ \ d + \ \ d +。(: \ d +) * /:‘*’“maxcdn.bootstrapcdn.com”:‘*’“www.gstatic.com”:[' media-src ',“img src”]
                

1 2 3 4

#配置/包/ nelmio_security.yamlnelmio_security:signed_cookie:的名字:[test1,test2)

然而,为简单起见,开始具有高安全性和优化后,可以指定*作为一个饼干的名字都自动饼干签署。

                1 2 3 4
                #配置/包/ nelmio_security.yamlnelmio_security:signed_cookie:的名字:(“*”)
               

另外,可选配置设置:

                1 2 3 4 5
                #配置/包/ nelmio_security.yamlnelmio_security:signed_cookie:秘密:this_is_very_secret全球%秘密% #默认参数hash_algo:sha512#默认sha256,看到“hash_algos可用()的算法
               

X-Frame-Options标题是否认(防止框架页)SAMEORIGIN(防止框架所有页面不是在同一个域)。另外这个包支持允许选择它跳过创建匹配的url的头,如果你想允许几个url,然后拒绝一切。

多一个选择,然而不是很支持,是使用ALLOW-FROM uri在哪里uri可以是任何URL,起源的example.org来https://example.org: 123 /子/路径。这允许您指定哪些领域可以嵌入你的网站,如果你有一个多域设置。

默认配置(否认一切):

                1 2 3 4 5 6 7
                #配置/包/ nelmio_security.yamlnelmio_security:“点击劫持”:道路:“^ / *’。:否认content_types:[]主机:[]
               

允许列表配置(否认除了几个url):

                1 2 3 4 5 6 7 8 9 10
                #配置/包/ nelmio_security.yamlnelmio_security:“点击劫持”:道路:“^ / iframes /”:允许' ^ /业务/ ':“ALLOW-FROM https://biz.example.org”“^ /地方/”:SAMEORIGIN“^ / *’。:否认content_types:[]主机:[]
               

适用于某些主机:

                1 2 3 4 5 6 7 8 9 10
                #配置/包/ nelmio_security.yamlnelmio_security:“点击劫持”:道路:“^ / iframes /”:允许“^ / *’。:否认content_types:[]主机:- - - - - -“^ foo \ com美元”- - - - - -“.org \ .example \ $”
               

当然你也可以只否认几个关键的url,而其余的人:

                1 2 3 4 5 6 7
                #配置/包/ nelmio_security.yamlnelmio_security:“点击劫持”:道路:' ^ /信息/写':否认content_types:[]主机:[]
               

一个可选的content_types键允许您限制X-Frame-Options头只在一些HTTP响应他们的内容类型。

1 2 3 4

#配置/包/ nelmio_security.yamlnelmio_security:external_redirects:日志:真正的

你可以中止(他们被403响应)重定向:

                1 2 3 4
                #配置/包/ nelmio_security.yamlnelmio_security:external_redirects:终止:真正的
               

或者你可以覆盖它们,取代重定向的位置头的路线名称或另一个网址:

                1 2 3 4 5 6 7
                #配置/包/ nelmio_security.yamlnelmio_security:external_redirects:#重定向到“家”的路线覆盖:家#使用这个URL重定向到另一个#覆盖:/ foo
               

如果你想显示的URL重写页面您可以指定阻塞forward_as参数,它定义了查询参数将接收URL。使用下面的配置,例如做一个重定向到http://example.org/将覆盖/ external-redirect ? redirUrl = http://example.org/。

                1 2 3 4 5 6
                #配置/包/ nelmio_security.yamlnelmio_security:external_redirects:#重定向和转发重写URL覆盖:/ external-redirectforward_as:redirUrl
               

因为它是很常见的重定向在网站合法的原因,通常OAuth登录等,可以让一些域名。他们所有的子域将被允许,所以你可以让你自己的网站的子域。

                1 2 3 4 5 6 7
                #配置/包/ nelmio_security.yamlnelmio_security:external_redirects:终止:真正的allow_list:- - - - - -twitter.com- - - - - -facebook.com
               

1 2 3

#配置/包/ nelmio_security.yamlnelmio_security:forced_ssl:~

如果你打开这个选项,它的建议也设置会话cookie是安全的,和所有其他cookie发送。你可以做前使用:

                1 2 3 4
                #配置/包/ framework.yaml框架:会话:cookie_secure:真正的
               

保持一些url从force-redirected SSL可以定义允许的正则表达式列表:

                1 2 3 4 5 6
                #配置/包/ nelmio_security.yamlnelmio_security:forced_ssl:启用:真正的allow_list:- - - - - -^ /不安全的
               

限制force-redirects一些主机名只有你能定义主机名作为正则表达式的列表:

                1 2 3 4 5 6
                #配置/包/ nelmio_security.yamlnelmio_security:forced_ssl:启用:真正的主机:- - - - - -^ \ .example \ .org美元
               

改变重定向的方式做是为了永久重定向为例,你可以设置:

                1 2 3 4 5
                #配置/包/ nelmio_security.yamlnelmio_security:forced_ssl:启用:真正的redirect_status_code:301年
               

如果你想进一步推动它,您可以启用 HTTP严格的交通安全(hst)。这基本上是发送一个头告诉浏览器访问你的网站必须使用SSL。如果用户输入一个http://URL,浏览器会把它转换成https://自动,并将之前做任何要求,防止中间人攻击。

浏览器将缓存只要指定的值hsts_max_age(以秒为单位),如果你打开hsts_subdomains选项,这种行为将被应用到所有子域。

                1 2 3 4 5
                #配置/包/ nelmio_security.yamlnelmio_security:forced_ssl:hsts_max_age:2592000# 30天hsts_subdomains:真正的
               

你也可以告诉浏览器将你的网站添加到已知hst的网站列表,通过启用hsts_preload。一旦你的网站出现在Chrome和Firefox预加载列表,那么新用户来你的网站已经被重定向到HTTPS url。

                1 2 3 4 5
                #配置/包/ nelmio_security.yamlnelmio_security:forced_ssl:hsts_max_age:31536000# 1年hsts_preload:真正的
               

请注意

目前至少1年的值所需的铬和还需要通过火狐。hsts_subdomains还必须支持预加载工作。

你可以加快过程通过提交你的网站hst预加载列表。

一个小警告:虽然hst的安全,这意味着如果浏览器不能建立SSL证书是有效的,它不会允许用户查询你的网站。这就意味着你应该小心和更新你的证书。

提示

检查我可以用hst吗?完整的信息支持的浏览器。

NelmioSecurityBundle

1 2 3 4

`#配置/包/ nelmio_security.yamlnelmio_security:signed_cookie:的名字:[test1,test2)`

1 2 3 4

`#配置/包/ nelmio_security.yamlnelmio_security:external_redirects:日志:真正的`

1 2 3

`#配置/包/ nelmio_security.yamlnelmio_security:forced_ssl:~`

1 2 3 4

`#配置/包/ framework.yaml框架:会话:cookie_secure:真正的`

非标准nosniff头从微软。

1 2 3 4

`#配置/包/ nelmio_security.yamlnelmio_security:content_type:nosniff:真正的`

非标准X-XSS-Protection头从微软。

1 2 3 4 5 6

`#配置/包/ nelmio_security.yamlnelmio_security:xss_protection:启用:真正的mode_block:真正的report_uri:% router.request_context.base_url % / nelmio / xss /报告的`

0b足球

学习Symfob娱乐下载ony

截屏

欧宝体育平台怎么样

博客

服务

部署在