Defaults.Exposed › Glossary › Content-Security-Policy (CSP)

Content-Security-Policy (CSP)

Also known as: CSP, Content Security Policy

Pravidlník, který váš web předává prohlížeči se seznamem přesně toho, jaký kód a obsah smí běžet — hlavní obrana proti útočníkům vkládajícím škodlivé skripty do vašich stránek.

Co to je

Content-Security-Policy, neboli CSP, je seznam pravidel, který váš web předá prohlížeči návštěvníka a říká, které skripty, obrázky, styly a jiný obsah smějí načíst a spustit — a implicitně blokuje vše ostatní. Je to jako předat prohlížeči seznam hostů a říct mu, aby odvrátil každého, kdo na něm není.

Proč je to důležité pro vaši firmu

Jedním z nejčastějších útoků na weby je propašování škodlivého kódu do stránky — přes komentářové pole, formulář, kompromitovaný plugin nebo napadený widget třetí strany. Jakmile tento kód běží v prohlížeči návštěvníka, může krást přihlašovací údaje, unášet relace, skimmovat čísla karet při placení nebo deformovat stránku.

CSP je v tomto bezpečnostní pás. I kdyby se útočníkovi podařilo kód propašovat, prohlížeč odmítne spustit cokoli, co není na vašem schváleném seznamu — útok tak místo výbuchu fizzle. Pro firmu, která na svém webu přijímá platby nebo přihlášení, jde o jednu z nejcennějších ochrann, které lze přidat, a nic nestojí.

Jak to zjistit / co dělat

Náš bezplatný checker říká, zda váš web zasílá Content-Security-Policy, a označí, pokud chybí. Protože CSP uvádí konkrétní obsah vašeho webu, musí být na míru — průvodce opravou CSP provede pečlivou tvorbou, aby vás chránil bez rozbití čehokoliv, co váš web legitimně používá. Nastavení je zdarma.

Want to fix this on your own domain? See the free guide →