Defaults.Exposed › Glossary › Content-Security-Policy (CSP)

Content-Security-Policy (CSP)

Also known as: CSP, Content Security Policy

Sivustosi selaimelle antama sääntökirja, joka luettelee tarkalleen, mitä koodia ja sisältöä saa suorittaa — päähäinen puolustus hyökkääjiä vastaan, jotka yrittävät ruiskuttaa haitallisia skriptejä sivuillesi.

Mistä on kyse

Content-Security-Policy eli CSP on luettelo säännöistä, jotka verkkosivustosi antaa vierailijan selaimelle ja jotka kertovat, mitkä skriptit, kuvat, tyylit ja muu sisältö saavat ladata ja suorittua — ja implisiittisesti estää kaiken muun. Se on kuin antaa selaimelle vieraslista ja käskeä sen kääntää pois kaikki, jotka eivät ole sillä.

Miksi tämä on tärkeää yrityksellesi

Yksi yleisimmistä verkkosivustohyökkäyksistä on haitallisen koodin salakuljettaminen sivulle — kommenttiruudun, lomakkeen, kaapatun laajennuksen tai vaarantuneen kolmannen osapuolen widgetin kautta. Kun tuo koodi suorittuu vierailijan selaimessa, se voi varastaa kirjautumiset, kaapata istuntoja, skimmata korttitiedot kassalla tai turmella sivun.

CSP on turvavyö tähän. Vaikka hyökkääjä onnistuu salakuljettamaan koodia, selain kieltäytyy suorittamasta mitään, joka ei ole hyväksytyllä listallasi — joten hyökkäys tyrehtyy eikä liipaise. Yritykselle, joka ottaa maksuja tai kirjautumisia sivustollaan, tämä on yksi arvokkaimmista suojauksista, joita voit lisätä, eikä se maksa mitään.

Miten tarkistaa ja mitä tehdä

Ilmainen tarkistuksemme kertoo, lähettääkö sivustosi Content-Security-Policy:n ja merkitsee jos se puuttuu. Koska CSP luettelee sinun sivustosi tietyn sisällön, se täytyy räätälöidä — CSP-korjausopas opastaa sellaisen rakentamisessa huolellisesti, jotta se suojaa sinua rikkomatta mitään sivustosi laillisesti käyttämää. Sen pystytys on ilmainen.

Want to fix this on your own domain? See the free guide →