Defaults.Exposed › Glossary › Content-Security-Policy (CSP)

Content-Security-Policy (CSP)

Also known as: CSP, Content Security Policy

Pravilnik koji vaša stranica daje pregledniku, a koji navodi točno koji kod i sadržaj smiju se izvršavati — glavna obrana od napadača koji ubacuju zlonamjerne skripte u vaše stranice.

Što je to

Content-Security-Policy, ili CSP, popis je pravila koje vaša web-stranica predaje pregledniku posjetitelja navodeći koje skripte, slike, stilovi i drugi sadržaj smiju se učitati i izvršiti — i implicitno blokira sve ostalo. To je kao dati pregledniku popis gostiju i reći mu da odbije svakoga tko nije na njemu.

Zašto je važno za vaše poslovanje

Jedan od najčešćih napada na web-stranice je ubacivanje zlonamjernog koda u stranicu — putem polja za komentare, obrasca, kompromitiranog dodatka ili ugroženog widgeta treće strane. Jednom kad se taj kod pokrene u pregledniku posjetitelja, može ukrasti podatke za prijavu, preuzeti sesije, skimirati podatke kartice na blagajni ili izobličiti stranicu.

CSP je sigurnosni pojas za ovo. Čak i ako napadač uspije ubaciti kod, preglednik odbija pokrenuti ništa što nije na vašem odobrenom popisu — pa napad splasne umjesto da se aktivira. Za poslovanje koje prima plaćanja ili prijave na svojoj stranici, ovo je jedna od zaštita s najvećom vrijednošću koje možete dodati, i ne košta ništa.

Kako to provjeriti / što učiniti

Naša besplatna provjera govori vam šalje li vaša stranica Content-Security-Policy i ističe ako nedostaje. Budući da CSP navodi specifičan sadržaj vaše stranice, treba biti prilagođen — vodič za postavljanje CSP-a provodi kroz pažljivo izrađivanje jednog koji vas štiti bez kvarenja onoga što vaša stranica legitimno koristi. Postavljanje je besplatno.

Want to fix this on your own domain? See the free guide →