RO-2573: Fikse sikkerhets headers i appen

[amish1188]

!OBS: Jeg legger til npm run translations:add-nn-app-fallback scriptet i regobs-web-build pipelinen siden vi glemte den før.

Jeg følget standarden som står i vår wiki-sider under Frontend sikkerhet.

Det var hit and miss med noen header-ne. Derfor måtte jeg prøve et par ganger i både statsik versjon av appen (PR-bygg), og med den som deployes til IIS, siden oppsettet er litt annerledes. For å få header-ne i statiske nettsider måtte jeg oppdatere globalHeaders i staticwebapp.config.json.
For å få header-ne på plass i IIS brukte jeg web.config.

Jeg lagde en script som generer csp og pp headerne i de tre forksjellige filer så slipper vi å endre mye.

Jeg måtte ta hensyn til våre egne behov i regobs, altså sikre at alt fungerer med ionic, som kamera og geolokasjon. Derfor står det self på de to i Permissions-Policy header.
Vi hadde allerede en del headere i index.html. Jeg har kopiert de, og limt dem inn i konfig-filene. (Vi må beholde headerne i index.html for native appen fordi den skal ikke brule headers fra server). Jeg fjernet '*' og 'unsafe-inline' i default-src fordi vi ønsker ikke å gi den så mye makt. Deretter har jeg tatt resten av headere fra wiki siden. Selv om jeg ikke er en stor fan av det, måtte jeg legge til 'unsafe-inline' i style-src-elem, style-src og script-src. Hadde jeg ikke gjort det ville appen ikke laste ned styles, men også feile med noen scripter. Jeg vet ikke egentlig hvorfor unsafe-line på script-src trengs på iis (den trengs ikke på statiske sider), men jeg har ikke fått den til å fungere uten det, da jeg deployet appen til test miljø. Jeg har fått en melding at inline script kunne ikke kjøres fordi den ble blokkert med policy. Det var foreslått i konsolet for å bruke unsfae-inline der.
Jeg har testet i nettleseren på desktop og på mobil. Sikkert lurt å teste også i native miljø. Dere kan teste om headerne fungerer ved å starte siden (ikke i localhost siden den må serveres fra serveren) og så filtrere etter doc-filer i nettverk fanen. Så klikker dere på den hoved fil, og ser dere headerne.

Gjerne også sjekk om dere ikke får noen feil i konsolet som har med headerne å gjøre.

Man kan sjekke også https://securityheaders.com/?q=https%3A%2F%2Ftest.regobs.no&followRedirects=on med PR-en sin statiske siden som dukker opp i PR-en.

[github-actions]

Azure Static Web Apps: Your stage site is ready! Visit it here: https://victorious-water-056410803-791.westeurope.azurestaticapps.net

[github-actions]

Azure Static Web Apps: Your stage site is ready! Visit it here: https://victorious-water-056410803-791.westeurope.azurestaticapps.net

[github-actions]

Azure Static Web Apps: Your stage site is ready! Visit it here: https://victorious-water-056410803-791.westeurope.azurestaticapps.net

[github-actions]

Azure Static Web Apps: Your stage site is ready! Visit it here: https://victorious-water-056410803-791.westeurope.azurestaticapps.net

[github-actions]

Azure Static Web Apps: Your stage site is ready! Visit it here: https://victorious-water-056410803-791.westeurope.azurestaticapps.net

[github-actions]

Azure Static Web Apps: Your stage site is ready! Visit it here: https://victorious-water-056410803-791.westeurope.azurestaticapps.net

[gruble]

Mangler beskrivelse.

• Hva har du gjort mer konkret?
• Hvilke vurderinger gjorde du?
• Finnes det retningslinjer til dokumentasjon som du har fulgt?
• Hvordan kan vi teste det?

[amish1188]

Mangler beskrivelse.

• Hva har du gjort mer konkret?
• Hvilke vurderinger gjorde du?
• Finnes det retningslinjer til dokumentasjon som du har fulgt?
• Hvordan kan vi teste det?

jeg er ikke ferdig med den enda. bare tester i test miljø

[github-actions]

Azure Static Web Apps: Your stage site is ready! Visit it here: https://victorious-water-056410803-791.westeurope.azurestaticapps.net

[github-actions]

Azure Static Web Apps: Your stage site is ready! Visit it here: https://victorious-water-056410803-791.westeurope.azurestaticapps.net

[jorgkv]

Jeg vet ikke om det har noe å si, men når vi fjerner denne betyr det at vi ikke har noe Content Security Policy i appen lenger. Kun på web der den serves fra IIS og enn så lenge via Azure Static Web Sites. Hvis vi trenger Content Security Policy på web, så antar jeg at vi trenger det i appen også, siden appen også er en webapp, bare at webserveren er lokalt?

[amish1188]

Det har jeg ikke tenkt på. Jeg må da modifisere den som var der før, fordi det var egentlig ingen policy, den la alt gå ut og inn.

[github-actions]

Azure Static Web Apps: Your stage site is ready! Visit it here: https://victorious-water-056410803-791.westeurope.azurestaticapps.net

[github-actions]

Azure Static Web Apps: Your stage site is ready! Visit it here: https://victorious-water-056410803-791.westeurope.azurestaticapps.net

[github-actions]

Azure Static Web Apps: Your stage site is ready! Visit it here: https://victorious-water-056410803-791.westeurope.azurestaticapps.net

[github-actions]

Azure Static Web Apps: Your stage site is ready! Visit it here: https://victorious-water-056410803-791.westeurope.azurestaticapps.net

[github-actions]

Azure Static Web Apps: Your stage site is ready! Visit it here: https://victorious-water-056410803-791.westeurope.azurestaticapps.net

[github-actions]

Azure Static Web Apps: Your stage site is ready! Visit it here: https://victorious-water-056410803-791.westeurope.azurestaticapps.net

[github-actions]

Azure Static Web Apps: Your stage site is ready! Visit it here: https://victorious-water-056410803-791.westeurope.azurestaticapps.net

[github-actions]

Azure Static Web Apps: Your stage site is ready! Visit it here: https://victorious-water-056410803-791.westeurope.azurestaticapps.net

[github-actions]

Azure Static Web Apps: Your stage site is ready! Visit it here: https://victorious-water-056410803-791.westeurope.azurestaticapps.net

[wartiainen]

Kunne denne vært 'none'?
Eller kjører dere noe i iframe?

[amish1188]

godt spørsmål. her brukte jeg bare det som sto på wiki siden. Vi bruker ikke regobs i iframe i regobs. Så self gir kanskje ikke så mye mening. Vi kan godt endre det til none.

[gruble]

Vi viser isplottet i iframe. Får det noen konsekvenser for dette?

[amish1188]

nei. det gjelder kun regobs appen. det er opp til isploten sine headers om den skal vises i iframe som andre applikasjoner bruker.

[wartiainen]

har sett gjennom og lest litt om Frontend sikkerhet på våre wiki-sider.
Testet også siste bygg deploy, eller hva det heter på https://securityheaders.com/
Der får dne karakteren 'A', det må jo være godt nok. Det var en warning der om en inline-safe, men skjønner ut i fra beskrivelsen din at dette måtte til for å få lastet ned styles.

[github-actions]

Azure Static Web Apps: Your stage site is ready! Visit it here: https://victorious-water-056410803-791.westeurope.azurestaticapps.net

[wartiainen]

Den forblir 'self' da?

Ble godkjent av andre