Defaults.Exposed › Glossary › Content-Security-Policy (CSP)

Content-Security-Policy (CSP)

Also known as: CSP, Content Security Policy

Ένα σύνολο κανόνων που δίνει το site σας στον browser καθορίζοντας ακριβώς ποιος κώδικας και περιεχόμενο επιτρέπεται να εκτελεστούν — η κύρια άμυνα ενάντια σε επιτιθέμενους που εγχύουν κακόβουλα scripts στις σελίδες σας.

Τι είναι

Μια Content-Security-Policy, ή CSP, είναι μια λίστα κανόνων που παρέχει το site σας στον browser του επισκέπτη, λέγοντας ποια scripts, εικόνες, στυλ και άλλο περιεχόμενο επιτρέπεται να φορτωθεί και να εκτελεστεί — και, εξ υπαρχής, μπλοκάροντας τα πάντα άλλα. Είναι σαν να δίνετε στον browser λίστα καλεσμένων και να του λέτε να απορρίψει όποιον δεν βρίσκεται σε αυτή.

Γιατί αφορά την επιχείρησή σας

Μια από τις πιο συνηθισμένες επιθέσεις σε website είναι η εισαγωγή κακόβουλου κώδικα σε μια σελίδα — μέσω πεδίου σχολίων, φόρμας, παραβιασμένου plugin ή widget τρίτου. Μόλις εκτελεστεί αυτός ο κώδικας στον browser ενός επισκέπτη, μπορεί να κλέψει συνδέσεις, να καταλάβει sessions, να αντιγράψει στοιχεία καρτών στο checkout ή να παραμορφώσει τη σελίδα.

Η CSP είναι η ζώνη ασφαλείας για αυτό. Ακόμα κι αν ένας επιτιθέμενος καταφέρει να εισαγάγει κώδικα, ο browser αρνείται να εκτελέσει οτιδήποτε δεν βρίσκεται στη λίστα εγκεκριμένων σας — οπότε η επίθεση σβήνει αντί να πυροδοτηθεί. Για επιχείρηση που δέχεται πληρωμές ή συνδέσεις στο site της, αυτή είναι μια από τις υψηλότερης αξίας προστασίες που μπορείτε να προσθέσετε, και δεν κοστίζει τίποτα.

Πώς να το ελέγξετε / τι να κάνετε

Ο δωρεάν ελεγκτής μας σας λέει αν το site σας στέλνει Content-Security-Policy και επισημαίνει αν λείπει. Επειδή μια CSP απαριθμεί το συγκεκριμένο περιεχόμενο του site σας, πρέπει να προσαρμοστεί — ο οδηγός επιδιόρθωσης CSP περιγράφει πώς να τη χτίσετε προσεκτικά ώστε να σας προστατεύει χωρίς να σπάει τίποτα που νόμιμα χρησιμοποιεί το site σας. Η ρύθμιση είναι δωρεάν.

Want to fix this on your own domain? See the free guide →