Defaults.Exposed › Glossary › Content-Security-Policy (CSP)

Content-Security-Policy (CSP)

Also known as: CSP, Content Security Policy

Een regelboek dat je site aan de browser geeft met precies welke code en inhoud mag draaien — de belangrijkste verdediging tegen aanvallers die kwaadaardige scripts in je pagina's injecteren.

Wat het is

Een Content-Security-Policy, of CSP, is een lijst regels die je website aan de browser van de bezoeker geeft, met daarin welke scripts, afbeeldingen, stijlen en andere inhoud mogen laden en draaien — en daarmee impliciet al het andere blokkeert. Het is alsof je de browser een gastenlijst geeft en zegt iedereen die er niet op staat weg te sturen.

Waarom het belangrijk is voor je bedrijf

Een van de meest voorkomende website-aanvallen is het binnensluizen van kwaadaardige code in een pagina — via een reactieveld, een formulier, een gekaapte plug-in of een gecompromitteerde externe widget. Zodra die code in de browser van een bezoeker draait, kan hij inloggegevens stelen, sessies kapen, kaartgegevens afromen bij het afrekenen of de pagina beschadigen.

Een CSP is de veiligheidsgordel hiertegen. Zelfs als een aanvaller erin slaagt code binnen te smokkelen, weigert de browser alles te draaien wat niet op je goedgekeurde lijst staat — zodat de aanval dooft in plaats van afgaat. Voor een bedrijf dat betalingen of logins op zijn site verwerkt, is dit een van de meest waardevolle beschermingen die je kunt toevoegen, en het kost niets.

Hoe je het herkent / wat je doet

Onze gratis checker vertelt je of je site een Content-Security-Policy meestuurt en markeert het als die ontbreekt. Omdat een CSP de specifieke inhoud van jouw site oplijst, moet hij op maat worden gemaakt — de CSP-herstelgids loopt zorgvuldig door het opbouwen ervan, zodat hij je beschermt zonder iets te breken dat je site legitiem gebruikt. Instellen is gratis.

Want to fix this on your own domain? See the free guide →