i
Content Security Policy
Configuración de la capa de seguridad adicional que ayuda a prevenir y mitigar algunos tipos de ataques, incluido Cross Site Scripting.
Todas las directivas configurables se pueden completar según la especificación https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Content-Security-Policy/Sources#sources
Propiedades Configurables
Sirve como respaldo para las otras directivas de CSP. Para cada una de las directivas que están ausentes, el agente de usuario busca la directiva y usa este valor para ella.
Nombre |
DirectivaDefault_Src |
Código |
DEFAULT_SRC |
Niveles de Configuración |
|
•Instalación |
|
•Aplicación |
|
•Unidad Organizacional |
|
•Usuario |
|
Es dinámica |
|
Es encriptada |
|
Valor Predeterminado |
|
Especifica fuentes válidas para las hojas de estilo. Si esta directiva está ausente, el agente de usuario busca la directiva default-src. Se pueden permitir una o más fuentes para la directiva style-src.
Nombre |
DirectivaStyle_Src |
Código |
STYLE_SRC |
Niveles de Configuración |
|
•Instalación |
|
•Aplicación |
|
•Unidad Organizacional |
|
•Usuario |
|
Es dinámica |
|
Es encriptada |
|
Valor Predeterminado |
|
Especifica fuentes válidas para las fuentes de texto cargadas. Si esta directiva está ausente, el agente de usuario busca la directiva default-src. Se pueden permitir una o más fuentes para la directiva font-src.
Nombre |
DirectivaFont_Src |
Código |
FONT_SRC |
Niveles de Configuración |
|
•Instalación |
|
•Aplicación |
|
•Unidad Organizacional |
|
•Usuario |
|
Es dinámica |
|
Es encriptada |
|
Valor Predeterminado |
|
Especifica fuentes válidas para JavaScript. Si esta directiva está ausente, el agente de usuario busca la directiva default-src. Se pueden permitir una o más fuentes para la directiva script-src.
Nombre |
DirectivaScript_Src |
Código |
SCRIPT_SRC |
Niveles de Configuración |
|
•Instalación |
|
•Aplicación |
|
•Unidad Organizacional |
|
•Usuario |
|
Es dinámica |
|
Es encriptada |
|
Valor Predeterminado |
|
Especifica fuentes válidas para imágenes. Si esta directiva está ausente, el agente de usuario busca la directiva default-src. Se pueden permitir una o más fuentes para la directiva img-src.
Nombre |
DirectivaImg_Src |
Código |
IMG_SRC |
Niveles de Configuración |
|
•Instalación |
|
•Aplicación |
|
•Unidad Organizacional |
|
•Usuario |
|
Es dinámica |
|
Es encriptada |
|
Valor Predeterminado |
data |
Especifica fuentes válidas para la carga de contextos de navegación anidados usando elementos como <frame> e <iframe>. Se pueden permitir una o más fuentes para la directiva frame-src.
Nombre |
DirectivaFrame_Src |
Código |
FRAME_SRC |
Niveles de Configuración |
|
•Instalación |
|
•Aplicación |
|
•Unidad Organizacional |
|
•Usuario |
|
Es dinámica |
|
Es encriptada |
|
Valor Predeterminado |
|
La directiva especifica sitios válidos que pueden embeber el portal de Deyel usando <frame>, <iframe>, <object>, <embed> o <applet>. Se diferencia de la directiva frame-src ya que ésta última específica desde dónde se pueden cargar los iframes en el portal de Deyel. Se pueden permitir una o más fuentes para la directiva frame-ancestors-src.
Nombre |
DirectivaFrame_ancestors_Src |
Código |
FRAME_ANCESTORS_SRC |
Niveles de Configuración |
|
•Instalación |
|
•Aplicación |
|
•Unidad Organizacional |
|
•Usuario |
|
Es dinámica |
|
Es encriptada |
|
Valor Predeterminado |
|
La directiva determina las URLs que se pueden utilizar desde Deyel como destino en los tags <form> de HTML. Se pueden permitir una o más fuentes para la directiva form-action-src.
Nombre |
DirectivaForm_action_Src |
Código |
FORM_ACTION_SRC |
Niveles de Configuración |
|
•Instalación |
|
•Aplicación |
|
•Unidad Organizacional |
|
•Usuario |
|
Es dinámica |
|
Es encriptada |
|
Valor Predeterminado |
*.google.com |
La directiva determina las URLs que se pueden cargar mediante interfaces de script. Las API no permitidas en la directiva son: <a> ping, fetch(), XMLHttpRequest, WebSocket,EventSource y Navigator.sendBeacon(). Si esta directiva está ausente, el agente de usuario busca la directiva default-src. Se pueden permitir una o más fuentes para la directiva connect-src.
Nombre |
DirectivaConnect_Src |
Código |
CONNECT_SRC |
Niveles de Configuración |
|
•Instalación |
|
•Aplicación |
|
•Unidad Organizacional |
|
•Usuario |
|
Es dinámica |
|
Es encriptada |
|
Valor Predeterminado |
https://www.cloudflare.com/cdn-cgi/trace data |