Defaults.Exposed › Glossary › Content-Security-Policy (CSP)

Content-Security-Policy (CSP)

Also known as: CSP, Content Security Policy

Um livro de regras que o seu site dá ao navegador, listando exatamente que código e conteúdo podem ser executados — a principal defesa contra atacantes que injetam scripts maliciosos nas suas páginas.

O que é

Uma Content-Security-Policy, ou CSP, é uma lista de regras que o seu site entrega ao navegador do visitante, dizendo quais os scripts, imagens, estilos e outros conteúdos que podem ser carregados e executados — e, por implicação, bloqueando todos os restantes. É como dar ao navegador uma lista de convidados e dizer-lhe para recusar a entrada a quem não estiver nela.

Porque é importante para o seu negócio

Um dos ataques mais comuns a sites é introduzir código malicioso numa página — através de uma caixa de comentários, de um formulário, de um plug-in sequestrado ou de um widget de terceiros comprometido. Assim que esse código é executado no navegador de um visitante, pode roubar credenciais, sequestrar sessões, capturar dados de cartão na finalização da compra ou desfigurar a página.

Uma CSP é o cinto de segurança para isto. Mesmo que um atacante consiga infiltrar código, o navegador recusa-se a executar tudo o que não esteja na sua lista aprovada — por isso o ataque esvai-se em vez de disparar. Para um negócio que recebe pagamentos ou credenciais no seu site, esta é uma das proteções de maior valor que pode acrescentar, e não custa nada.

Como saber / o que fazer

O nosso verificador gratuito diz-lhe se o seu site envia uma Content-Security-Policy e assinala se estiver em falta. Como uma CSP lista o conteúdo específico do seu site, precisa de ser feita à medida — o guia de correção da CSP explica passo a passo como construir uma com cuidado, para que o proteja sem partir nada que o seu site use legitimamente. A configuração é gratuita.

Want to fix this on your own domain? See the free guide →