Defaults.Exposed › Glossary › Content-Security-Policy (CSP)

Content-Security-Policy (CSP)

Also known as: CSP, Content Security Policy

Buku peraturan yang diberikan laman anda kepada pelayar yang menyenaraikan kod dan kandungan yang dibenarkan untuk berjalan — pertahanan utama terhadap penyerang yang menyuntik skrip berbahaya ke dalam halaman anda.

Apa itu

Content-Security-Policy, atau CSP, adalah senarai peraturan yang diberikan laman web anda kepada pelayar pelawat yang mengatakan skrip, imej, gaya dan kandungan lain mana yang dibenarkan untuk dimuatkan dan dijalankan — dan, secara tersirat, menyekat segala yang lain. Ia seperti memberi pelayar senarai tetamu dan memberitahunya untuk menolak sesiapa yang tidak ada dalam senarai.

Mengapa ia penting untuk perniagaan anda

Salah satu serangan laman web yang paling biasa adalah menyelinap kod berbahaya ke dalam halaman — melalui kotak komen, borang, pemalam yang dirompak, atau widget pihak ketiga yang terjejas. Apabila kod itu berjalan dalam pelayar pelawat, ia boleh mencuri log masuk, merampas sesi, mengimbas butiran kad di pembayaran, atau memburukkan halaman.

CSP adalah tali pinggang keledar untuk ini. Walaupun penyerang berjaya menyelinap kod masuk, pelayar enggan menjalankan apa pun yang tidak ada dalam senarai diluluskan anda — jadi serangan fizzles dan bukannya berfungsi. Untuk perniagaan yang mengambil pembayaran atau log masuk di lamannya, ini adalah salah satu perlindungan nilai tertinggi yang boleh anda tambah, dan ia tiada kos.

Cara mengesan / apa yang perlu dilakukan

Pemeriksa percuma kami memberitahu anda sama ada laman anda menghantar Content-Security-Policy dan menandakan jika ia tiada. Kerana CSP menyenaraikan kandungan spesifik laman anda, ia perlu disesuaikan — panduan pembaikan CSP menerangkan cara membinanya dengan berhati-hati supaya ia melindungi anda tanpa merosakkan apa pun yang digunakan laman anda secara sah. Ia percuma untuk disediakan.

Want to fix this on your own domain? See the free guide →