Defaults.Exposed › Glossary › Content-Security-Policy (CSP)

Content-Security-Policy (CSP)

Also known as: CSP, Content Security Policy

En regelbok nettstedet ditt gir nettleseren som lister opp nøyaktig hvilken kode og innhold som har lov til å kjøre — det viktigste forsvaret mot angripere som injiserer skadelige skript på sidene dine.

Hva det er

En Content-Security-Policy, eller CSP, er en liste med regler nettstedet ditt overleverer til besøkendes nettleser som sier hvilke skript, bilder, stiler og annet innhold som har lov til å lastes og kjøres — og implisitt blokkerer alt annet. Det er som å gi nettleseren en gjestelist og fortelle den å vise bort alle som ikke er på den.

Hva det betyr for virksomheten din

Et av de vanligste nettstedsangrepene er å smugle skadelig kode inn på en side — gjennom en kommentarboks, et skjema, et kapret programtillegg eller en kompromittert tredjeparts-widget. Når den koden kjører i en besøkendes nettleser, kan den stjele innlogginger, kapre sesjoner, skumme kortdetaljer ved kassen, eller vandalisere siden.

En CSP er setebeltet for dette. Selv om en angriper klarer å smugle inn kode, nekter nettleseren å kjøre noe som ikke er på den godkjente listen — slik at angrepet fizzler i stedet for å utløses. For en virksomhet som tar imot betalinger eller innlogginger på nettstedet, er dette en av de høyest-verdi beskyttelsene du kan legge til, og det koster ingenting.

Slik sjekker du / hva du bør gjøre

Vår gratis sjekker forteller deg om nettstedet ditt sender en Content-Security-Policy og flaggerer om den mangler. Fordi en CSP lister opp ditt nettstedsspesifikke innhold, må den tilpasses — CSP-fiksveiledningen leder gjennom å bygge en nøye slik at den beskytter deg uten å bryte noe nettstedet legitimt bruker. Det er gratis å sette opp.

Want to fix this on your own domain? See the free guide →