Defaults.Exposed › Glossary › Content-Security-Policy (CSP)

Content-Security-Policy (CSP)

Also known as: CSP, Content Security Policy

Un regolamento che il tuo sito dà al browser elencando esattamente quali codici e contenuti possono essere eseguiti — la difesa principale contro chi inietta script dannosi nelle tue pagine.

Che cos’è

Una Content-Security-Policy, o CSP, è un elenco di regole che il tuo sito consegna al browser del visitatore, indicando quali script, immagini, stili e altri contenuti possono essere caricati ed eseguiti — e, di conseguenza, bloccando tutto il resto. È come dare al browser una lista degli invitati e dirgli di rifiutare chiunque non vi compaia.

Perché conta per la tua attività

Uno degli attacchi più comuni ai siti web è introdurre di nascosto codice dannoso in una pagina — tramite un campo commenti, un modulo, un plug-in dirottato o un widget di terze parti compromesso. Una volta che quel codice gira nel browser di un visitatore, può rubare credenziali, dirottare sessioni, sottrarre i dati delle carte alla cassa o deturpare la pagina.

Una CSP è la cintura di sicurezza per tutto questo. Anche se un aggressore riesce a infilare del codice, il browser si rifiuta di eseguire qualunque cosa non sia nel tuo elenco approvato — così l’attacco fa cilecca invece di scattare. Per un’attività che riceve pagamenti o accessi sul proprio sito, è una delle protezioni dal valore più alto che puoi aggiungere, e non costa nulla.

Come capirlo / cosa fare

Il nostro controllo gratuito ti dice se il tuo sito invia una Content-Security-Policy e segnala se manca. Poiché una CSP elenca i contenuti specifici del tuo sito, va personalizzata — la guida alla correzione CSP accompagna nella costruzione attenta di una policy che ti protegga senza rompere nulla di ciò che il sito usa legittimamente. La configurazione è gratuita.

Want to fix this on your own domain? See the free guide →