Defaults.Exposed › Glossary › Content-Security-Policy (CSP)

Content-Security-Policy (CSP)

Also known as: CSP, Content Security Policy, polityka bezpieczeństwa treści

Zbiór reguł, który Twoja witryna przekazuje przeglądarce, wymieniając dokładnie, jaki kod i treść mogą się uruchomić — główna obrona przed wstrzykiwaniem przez atakujących złośliwych skryptów do Twoich stron.

Co to jest

Content-Security-Policy, czyli CSP, to lista reguł, którą Twoja witryna przekazuje przeglądarce odwiedzającego, wskazując, które skrypty, obrazy, style i inne treści mogą się załadować i uruchomić — a tym samym blokując całą resztę. To jak wręczenie przeglądarce listy gości i polecenie, by odprawiała każdego, kogo na niej nie ma.

Dlaczego ma znaczenie dla Twojej firmy

Jednym z najczęstszych ataków na witryny jest przemycenie złośliwego kodu na stronę — przez pole komentarza, formularz, przejętą wtyczkę lub skompromitowany zewnętrzny widżet. Gdy ten kod uruchomi się w przeglądarce odwiedzającego, może wykraść dane logowania, przejąć sesje, podebrać dane karty przy płatności lub zniszczyć wygląd strony.

CSP to pas bezpieczeństwa na taki przypadek. Nawet jeśli atakującemu uda się przemycić kod, przeglądarka odmówi uruchomienia czegokolwiek spoza Twojej zatwierdzonej listy — więc atak gaśnie, zamiast wypalić. Dla firmy, która przyjmuje płatności lub logowania na swojej stronie, to jedna z najbardziej wartościowych ochron, jakie można dodać, a nic nie kosztuje.

Jak sprawdzić / co zrobić

Nasz bezpłatny tester mówi, czy Twoja witryna wysyła Content-Security-Policy, i sygnalizuje, gdy jej brakuje. Ponieważ CSP wymienia treści specyficzne dla Twojej witryny, trzeba ją dopasować — przewodnik naprawczy CSP krok po kroku pokazuje, jak zbudować ją starannie, tak by Cię chroniła, nie psując niczego, z czego Twoja witryna zgodnie z prawem korzysta. Konfiguracja jest bezpłatna.

Want to fix this on your own domain? See the free guide →