Schoenmaker hou je bij je leest, zouden we kunnen zeggen.
Maar ook de huidige leestenmakers laten nogal eens heel wat security-steken vallen.
Ligt dat aan de werkdruk of het gebrek aan tijd en aandacht voor website-security?
Je komt het wel veel te vaak tegen op de gehele website infrastructuur.
Website security om van te gaan huilen, vaak.
Voorbeeld: CSP (waar nodig op websites) vaker niet goed dan wel goed ingesteld.
Draai eens een CSP evaluatie extensie in je browser.
default-src 'self' https://themes.googleusercontent.com/;
script-src 'self' 'unsafe-inline' https://statistiek.rijksoverheid.nl https://cdn.datatables.net;
style-src 'self' 'unsafe-inline' https://cdn.datatables.net;
img-src 'self' https://rivm.nl/ https://*.rivm.nl/;
report-uri /report-csp-violation;
'unsafe-inline' allows the execution of unsafe in-page scripts and event handlers.
Can you restrict object-src to 'none'?
Waarvan akte,
J.O.