Missing CSP in Spring Açıklığı (CWE-346)
Bu makalede Missing CSP in Spring (CWE-346), yani Spring Framework'ünde CSP Kullanımı Eksikliği açıklığı anlatılacaktır.

Açıklık Önem Derecesi:

Düşük

Açıklığın Etkisi:

XSS saldırılarına karşı savunmasız kalma, Clickjacking saldırılarına karşı savunmasız kalma

Açıklığın Açıklaması:

Content-Security-Policy yanıt başlığı güncel web tarayıcılarda XSS saldırılarını önleyen bir http güvenlik başlığıdır. Web tarayıcılarının görüntülediği web uygulamalarda xss zararlısı gelirse bu xss zararlısının web tarayıcıda çalışmasını önler ve son kullanıcının güven içinde web uygulamada gezinmesini sağlar. Bu başlık ile yeni web tarayıcılarda XSS önlenmektedir. Not: Bu başlık ile ayrıca Clickjacking saldırıları da önlenebilmektedir.

Açıklığın Önlemi:

Spring Framework’ünde CSP aktifleştirme ayarları şu alternatif yöntemlerden biri ile yapılabilir:

Java 

// Adding CSP Header Using Spring Security Java Configuration
@Configuration
public class SpringSecurityConfig extends WebSecurityConfigurerAdapter {
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        // Add CSP headers
        http.headers()
            .contentSecurityPolicy("script-src 'self' https://example.com; object-src https://example.com; report-uri /csp-report-endpoint/");
    }
}

XML 

// Adding CSP Header Using Spring Security XML Configuration
<http>
   <!-- ... -->

    <headers>
    <content-security-policy policy-directives="script-src 'self' https://apis.example.com">
        </content-security-policy>
    </headers>
</http>

CSP web uygulama back-end (arka uç) kaynak kodlarında, web sunucu yapılandırma dosyalarında veya front-end (ön uç) ‘daki html <head> bölümünde <meta> etiketleri ile tanımlanabilir.

Yararlanılan Kaynaklar:

  • Web Penetration Testing in Kali Linux, sayfa 122-127
  • https://blog.appcanary.com/2017/http-security-headers.html#hsts
  • https://www.tbs-certificates.co.uk/FAQ/en/hsts-iis.html
  • https://hstspreload.org/
  • https://security.stackexchange.com/questions/64979/mitigating-sslstrip-by-only-serving-a-site-over-https
  • http://sectools.org/tool/sslstrip/
  • https://www.cyberciti.biz/faq/nginx-send-custom-http-headers/
  • https://geekflare.com/tomcat-http-security-header/
  • https://docs.spring.io/spring-security/site/docs/current/reference/html/headers.html
  • https://spring.io/guides/gs/securing-web/
  • https://spring.io/blog/2013/08/23/spring-security-3-2-0-rc1-highlights-security-headers
  • https://www.dailyrazor.com/blog/glassfish-vs-tomcat/
  • http://www.edu4java.com/en/servlet/servlet1.html
Bu yazı 25.10.2025 tarihinde, saat 04:06:09'de yazılmıştır.
Yazar : Hasan Fatih ŞİMŞEK Görüntülenme Sayısı : 13
Yorumlar
Henüz yorum girilmemiştir.
Yorum Ekle
*
* (E-posta adresiniz yayınlanmayacaktır.)
*
*

#Arşiv

#Giriş
ID :
Şifre :