文章
公告通知

2047现已添加内容安全策略,目前理论上免疫一切网页脚本攻击

47小管家  ·  2022年1月18日 2047,自由人的精神角落,一个无需手机号和邮箱即可发言的社区。讨论时事、政治、文艺、IT技术等话题。

最近一段时间我们大幅加强了2047的安全措施,其中包括添加内容安全策略(Content Security Policy)以防御跨站脚本攻击。12月底2047遭到的黑客攻击就是一次跨站脚本攻击,目前新添加的安全特性,可以永久杜绝此类问题再次发生。

内容安全策略本质上是一个资源白名单。2047除了禁止网页内嵌脚本和跨站脚本执行,还对其它资源加载做出了限制:

  • 图片:只允许telegra.ph、imgur、WebArchive、和推特图床的图片加载。

  • 视频:只允许youtube链接。

如果您希望把其它安全的图床添加进白名单,欢迎在本贴下面留言。

菜单
  1. Misaki KBBL
    Misaki   习帝,习帝,我要Diss你!

    图片:维基共享资源 (uploads.wikimedia.org) 、Jetpack.com(i0.wp.com等), Github (*.github.io, *.githubusercontent.com), Gitlab (*gitlab.io, user-content.gitlab-static.net), Reddit (i.redd.it) 也可以加上去。

    视频:Vimeo也可以。

  2. 钢铁雄心 非钢铁雄心
    钢铁雄心   (钓鱼网站已屏蔽)
    内容已隐藏
    内容已被作者本人或管理员隐藏。 如有疑问,请点击菜单按钮,查看管理日志以了解原因。
  3. asdfghjkl  

    建议定期审查这个列表的内容,最好是设定一个策略,如果在多少天之内不确认一下,这个列表里的规则就自动失效。

  4. 邹韬奋 外逃贪官CA
    邹韬奋   虽然韬光养晦,亦当奋起而争(拜登永不为奴:h.2047.one)

    我的提议是不能过白名单的链接显示其链接,现在是图片不是图库的就会开天窗。

  5. CourtPie  

    githubusercontent.com不是一个安全的图床,它提供未经处理的图像,可能包含触发0day的恶意内容。

  6. 47小管家   2047,自由人的精神角落,一个无需手机号和邮箱即可发言的社区。讨论时事、政治、文艺、IT技术等话题。
  7. 猎鹿人 ▄︻┻┳═一
    猎鹿人   一只鹿兒:這麼入戲做什麼,真以為自己是趙家人啦(2021-09-30)

    我想提议视频链接也允许:

    https://www.bitchute.com/

    https://rumble.com/

    https://www.dailymotion.com/

    最近发现很多油管上被整的视频都转移到了上面几个网站

  8. jmp_esp  

    万一白名单的链接有漏洞呢?概率虽然低但是也有可能。 我建议对代码做下 review ,去掉存在 Xss 的部分, 或者干脆自己做图床,不要信任站外链接更安全。

  9. 白夜梨花  

    @CourtPie #177735 想了解一下未经处理的图像为什么会有漏洞,能否举个例子?

    ———— 另外,我觉得推特图床没啥必要 自己要使用的话应该还得注册推特账号,虽然没法像微博那样反查,但是基于目前推特和中共暧昧的关系来说,还是不够安全。

  10. CourtPie  

    @白夜梨花 #178064 这是因为负责图像处理的库可能含有漏洞。如果对图像进行处理,恶意代码就更有可能被剥离出来

    请参考这篇文章

  11. 47小管家   2047,自由人的精神角落,一个无需手机号和邮箱即可发言的社区。讨论时事、政治、文艺、IT技术等话题。

    CSP规则已更新,现在的规则比之前更严格,并且修复了Youtube无法播放的问题。

    default-src 'none';
    
    base-uri 'self'; 
    
    upgrade-insecure-requests; 
    
    script-src https://2047.one/js/ https://2047.one/highlight/ https://2047.one/cdn-cgi/; 
    
    style-src 'unsafe-inline' https://2047.one/css/ https://2047.one/highlight/; 
    
    connect-src 'self'; 
    
    form-action 'self'; 
    
    frame-ancestors 'none'; 
    
    frame-src 'self' https://youtu.be https://www.youtu.be https://youtube.com https://www.youtube.com; 
    
    img-src 'self' https://telegra.ph https://www.telegra.ph https://web.archive.org https://i.imgur.com https://pbs.twimg.com https://i.ytimg.com https://upload.wikimedia.org; 
    
    manifest-src 'self'; 
    
    media-src https://youtu.be https://www.youtu.be https://youtube.com https://www.youtube.com; 
    
    worker-src 'self';
    
  12. 放大镜 个性抬头
    放大镜  

    medium能加吗?

  13. 47小管家   2047,自由人的精神角落,一个无需手机号和邮箱即可发言的社区。讨论时事、政治、文艺、IT技术等话题。

    CSP规则更新,增加了hcaptcha和mathjax

    default-src 'none'; 
    
    upgrade-insecure-requests; 
    
    base-uri https://2047.one; 
    
    script-src 'self' https://cdn.jsdelivr.net/npm/mathjax@3.2.0/es5/tex-mml-chtml.js https://hcaptcha.com https://*.hcaptcha.com; 
    
    style-src 'self' 'unsafe-inline' https://hcaptcha.com https://*.hcaptcha.com; 
    
    connect-src https://2047.one https://hcaptcha.com https://*.hcaptcha.com; 
    
    font-src https://cdn.jsdelivr.net/npm/mathjax@3.2.0/; 
    
    form-action 'self'; 
    
    frame-ancestors 'none'; 
    
    frame-src 'self' https://youtu.be https://www.youtu.be https://youtube.com https://www.youtube.com https://hcaptcha.com https://*.hcaptcha.com; 
    
    img-src 'self' https://telegra.ph https://www.telegra.ph https://web.archive.org https://i.imgur.com https://pbs.twimg.com https://i.ytimg.com https://upload.wikimedia.org; 
    
    media-src https://youtu.be https://www.youtu.be https://youtube.com https://www.youtube.com; manifest-src 'self'; worker-src 'self';