Defaults.Exposed › Glossary › Content-Security-Policy (CSP)

Content-Security-Policy (CSP)

Also known as: CSP, Content Security Policy

ספר כללים שהאתר שלכם מוסר לדפדפן ומפרט בדיוק אילו קוד ותוכן מורשים לפעול — ההגנה העיקרית מפני תוקפים שמזריקים סקריפטים זדוניים לתוך הדפים שלכם.

מה זה

Content-Security-Policy, או CSP, הוא רשימת כללים שהאתר שלכם מוסר לדפדפן של המבקר, ומציינת אילו סקריפטים, תמונות, עיצובים ותוכן אחר מורשים לטעון ולהפעיל — ובאופן מרומז חוסמת כל דבר אחר. זה כמו לתת לדפדפן רשימת מוזמנים ולהגיד לו להחזיר מי שאינו עליה.

למה זה חשוב לעסק שלכם

אחד ההתקפות הנפוצות ביותר על אתרים הוא חדירת קוד זדוני לדף — דרך תיבת תגובות, טופס, תוסף שנחטף, או ווידג’ט צד-שלישי שנפגע. ברגע שאותו קוד פועל בדפדפן של מבקר, הוא יכול לגנוב כניסות, לחטוף סשנים, לגרד פרטי כרטיסים בקופה, או לפגוע בדף.

CSP הוא חגורת הבטיחות לכך. גם אם תוקף מצליח להחדיר קוד, הדפדפן מסרב להפעיל דבר שאינו ברשימה המאושרת שלכם — כך שההתקפה מתפוגגת במקום להיפתח. לעסק שמקבל תשלומים או כניסות באתרו, זוהי אחת ההגנות בעלות הערך הגבוה ביותר שתוכלו להוסיף, ואינה עולה כסף.

כיצד לדעת / מה לעשות

הבודק החינמי שלנו מספר לכם האם האתר שלכם שולח Content-Security-Policy ומסמן אם היא חסרה. מכיוון שCSP מפרטת את התוכן הספציפי של האתר שלכם, היא צריכה להיות מותאמת — מדריך תיקון ה-CSP מדריך כיצד לבנות אחת בקפידה כדי שתגן עליכם מבלי לשבור דבר שהאתר שלכם משתמש בו לגיטימית. ההגדרה חינמית.

Want to fix this on your own domain? See the free guide →