Defaults.Exposed › Glossary › Content-Security-Policy (CSP)

Content-Security-Policy (CSP)

Also known as: CSP, Content Security Policy

Taisyklių knyga, kurią jūsų svetainė perduoda naršyklei, išvardijant, kokiam kodui ir turiniui leidžiama vykdytis — pagrindinis gynybos būdas prieš užpuolikus, įterpinėjančius kenkėjiškus scenarijus į jūsų puslapius.

Kas tai yra

Content-Security-Policy arba CSP — tai taisyklių sąrašas, kurį jūsų svetainė perduoda lankytojo naršyklei, nurodantis, kuriems scenarijams, vaizdams, stiliams ir kitam turiniui leidžiama įkelti ir vykdyti — ir netiesiogiai blokuojant viską kita. Tai kaip perduoti naršyklei svečių sąrašą ir liepti atsisakyti priimti bet ką, kas jame nėra.

Kodėl tai svarbu jūsų verslui

Vienas iš dažniausių svetainių atakų būdų — kenkėjiško kodo įsiskverbimas į puslapį — per komentarų laukelį, formą, užgrobtą papildinį ar pažeistą trečiosios šalies valdiklį. Kai tas kodas vykdomas lankytojo naršyklėje, jis gali vogti prisijungimus, užgrobti sesijas, nugriebti kortelių duomenis kasos aparate ar subjauroti puslapį.

CSP yra saugos diržas tam. Net jei užpuolikui pavyksta įterpti kodą, naršyklė atsisako vykdyti nieko, kas nėra jūsų patvirtintame sąraše — taigi ataka blėsta, o ne šauna. Verslui, kuris priima mokėjimus ar prisijungimus savo svetainėje, tai viena iš vertingiausių apsaugų, kurias galite pridėti, ir nieko nekainuoja.

Kaip sužinoti / ką daryti

Mūsų nemokamas tikrintuvos nurodo, ar jūsų svetainė siunčia Content-Security-Policy ir pažymi, jei jo trūksta. Kadangi CSP išvardija jūsų svetainės konkretų turinį, jis turi būti pritaikytas — CSP taisymo vadovas padeda sukurti jį atidžiai, kad apsaugotų neklausdamas nieko, ką jūsų svetainė teisėtai naudoja. Nemokama nustatyti.

Want to fix this on your own domain? See the free guide →