Defaults.Exposed › Glossary › Content-Security-Policy (CSP)

Content-Security-Policy (CSP)

Also known as: CSP, Content Security Policy

En regelbog dit websted giver browseren, der præcist angiver, hvilken kode og indhold der må køre — det primære forsvar mod angribere, der injicerer skadelige scripts i dine sider.

Hvad det er

En Content-Security-Policy, eller CSP, er en liste over regler, dit websted afleverer til besøgendes browser, der angiver, hvilke scripts, billeder, stilarter og andet indhold der må indlæses og køre — og implicit blokerer alt andet. Det er som at give browseren en gæsteliste og fortælle den at afvise alle, der ikke er på den.

Hvorfor det betyder noget for din virksomhed

Et af de mest almindelige webstedsangreb er at smugle ondsindet kode ind på en side — via et kommentarfelt, en formular, et kapret plugin eller en kompromitteret tredjeparts-widget. Når den kode kører i en besøgendes browser, kan den stjæle logins, kapre sessioner, skimme kortoplysninger ved checkout eller vanhellige siden.

En CSP er sikkerhedsselen til dette. Selv hvis en angriber formår at smugle kode ind, nægter browseren at køre noget, der ikke er på din godkendte liste — så angrebet fizzler ud i stedet for at udløse. For en virksomhed, der modtager betalinger eller logins på sit websted, er dette én af de højest prioriterede beskyttelser, du kan tilføje, og det koster ingenting.

Sådan finder du ud af det / hvad du skal gøre

Vores gratis checker fortæller dig, om dit websted sender en Content-Security-Policy, og markerer hvis den mangler. Fordi en CSP lister dit websteds specifikke indhold, skal den skræddersyes — CSP-rettevejledningen gennemgår opbygningen af én omhyggeligt, så den beskytter dig uden at bryde noget, dit websted legitimt bruger. Det er gratis at opsætte.

Want to fix this on your own domain? See the free guide →