Defaults.Exposed › Речник › Content-Security-Policy (CSP)
Content-Security-Policy (CSP)
Известен още като: CSP, Content Security Policy
Набор от правила, който вашият сайт предоставя на браузъра, изброяващ точно какъв код и съдържание могат да се изпълняват — основната защита срещу нападатели, инжектиращи злонамерени скриптове в страниците ви.
Какво представлява
Content-Security-Policy, или CSP, е списък с правила, който вашият уебсайт предоставя на браузъра на посетителя, указвайки кои скриптове, изображения, стилове и друго съдържание са разрешени да се зареждат и изпълняват — и по подразбиране блокирайки всичко останало. Като да дадете на браузъра гостна листа и да му кажете да отказва влизането на всеки, който не е в нея.
Защо е важно за вашия бизнес
Една от най-честите атаки срещу уебсайтове е промъкването на злонамерен код в страница — чрез поле за коментар, формуляр, хакнат плъгин или компрометирана джаджа от трета страна. След като кодът се изпълни в браузъра на посетителя, той може да открадне данни за влизане, да отвлече сесии, да копира данни за карти при плащане или да обезобрази страницата.
CSP е предпазният колан за това. Дори ако нападателят успее да промъкне код, браузърът отказва да изпълни всичко, което не е в одобрения ви списък — така атаката се проваля, вместо да успее. За бизнес, приемащ плащания или влизания в сайта си, това е една от защитите с най-висока стойност, които можете да добавите, и не струва нищо.
Как да разберете / какво да направите
Нашата безплатна проверка ви казва дали сайтът ви изпраща Content-Security-Policy и сигнализира ако липсва. Тъй като CSP изброява конкретното съдържание на вашия сайт, то трябва да бъде персонализирано — ръководството за поправка на CSP преминава през изграждането на подходяща политика внимателно, за да ви защити, без да счупи нещо, което сайтът ви законно използва. Настройването е безплатно.
Искате ли да поправите това на вашия домейн? Вижте безплатното ръководство →