Defaults.Exposed › Glossary › Content-Security-Policy (CSP)

Content-Security-Policy (CSP)

Also known as: CSP, Content Security Policy

یک کتاب قوانینی که سایت شما به مرورگر می‌دهد و دقیقاً مشخص می‌کند چه کدها و محتوایی مجاز به اجرا هستند — اصلی‌ترین دفاع در برابر مهاجمانی که اسکریپت‌های مخرب را در صفحات شما تزریق می‌کنند.

چیست

یک Content-Security-Policy، یا CSP، فهرستی از قوانین است که وب‌سایت شما به مرورگر بازدیدکننده می‌دهد که مشخص می‌کند کدام اسکریپت‌ها، تصاویر، استایل‌ها و محتوای دیگر مجاز به بارگذاری و اجرا هستند — و به طور ضمنی همه چیز دیگری را مسدود می‌کند. مثل دادن یک لیست مهمان به مرورگر و گفتن اینکه هر کسی که در آن نیست را رد کند.

چرا برای کسب‌وکار شما اهمیت دارد

یکی از رایج‌ترین حملات وب‌سایت، قرار دادن کد مخرب در یک صفحه است — از طریق یک باکس نظر، یک فرم، یک پلاگین هک‌شده، یا یک ویجت شخص ثالث آسیب‌دیده. وقتی آن کد در مرورگر بازدیدکننده اجرا می‌شود، می‌تواند اطلاعات ورود را بدزدد، جلسات را هایجک کند، جزئیات کارت را در هنگام تسویه‌حساب اسکیم کند، یا صفحه را تخریب کند.

یک CSP کمربند ایمنی برای این است. حتی اگر یک مهاجم موفق شود کدی وارد کند، مرورگر از اجرای هر چیزی که در لیست تأیید شده شما نیست امتناع می‌کند — پس حمله فروکش می‌کند به جای اینکه شلیک کند. برای کسب‌وکاری که پرداخت یا اطلاعات ورود در سایت می‌گیرد، این یکی از ارزشمندترین حفاظت‌هایی است که می‌توانید اضافه کنید، و هیچ هزینه‌ای ندارد.

چطور بفهمید / چه کاری بکنید

ابزار رایگان ما می‌گوید آیا سایت شما یک Content-Security-Policy می‌فرستد و علامت‌گذاری می‌کند اگر وجود ندارد. چون یک CSP محتوای خاص سایت شما را فهرست می‌کند، باید سفارشی‌سازی شود — راهنمای رفع اشکال CSP مراحل ساخت دقیق آن را توضیح می‌دهد تا بدون شکستن هر چیزی که سایتتان به طور قانونی استفاده می‌کند از شما محافظت کند. راه‌اندازی آن رایگان است.

Want to fix this on your own domain? See the free guide →