Defaults.Exposed › Glossary › Content-Security-Policy (CSP)

Content-Security-Policy (CSP)

Also known as: CSP, Content Security Policy

Un regulament pe care site-ul tău îl transmite browserului, specificând exact ce cod și conținut au voie să ruleze — principala apărare împotriva atacatorilor care injectează scripturi malițioase în paginile tale.

Ce este

Un Content-Security-Policy, sau CSP, este o listă de reguli pe care site-ul tău o transmite browserului vizitatorului, specificând ce scripturi, imagini, stiluri și alte conținuturi au voie să se încarce și să ruleze — și, implicit, blocând orice altceva. Este ca și cum ai da browserului o listă de invitați și i-ai spune să refuze pe oricine nu se află pe ea.

De ce contează pentru afacerea ta

Unul din cele mai frecvente atacuri asupra site-urilor web este strecurarea de cod malițios într-o pagină — printr-o casetă de comentarii, un formular, un plugin compromis sau un widget terț atacat. Odată ce acel cod rulează în browserul unui vizitator, poate fura date de autentificare, deturna sesiuni, skimui detalii de card la checkout sau desfigura pagina.

Un CSP este centura de siguranță pentru aceasta. Chiar dacă un atacator reușește să strecoare cod, browserul refuză să ruleze orice nu se află pe lista ta aprobată — deci atacul eșuează în loc să se declanșeze. Pentru o afacere care preia plăți sau date de autentificare pe site, aceasta este una din protecțiile cu cea mai mare valoare pe care le poți adăuga, și nu costă nimic.

Cum verifici / ce să faci

Verificatorul nostru gratuit îți spune dacă site-ul tău trimite un Content-Security-Policy și semnalează dacă lipsește. Deoarece un CSP listează conținutul specific al site-ului tău, trebuie personalizat — ghidul de reparare CSP explică pas cu pas cum să construiești unul cu grijă, astfel încât să te protejeze fără să strice ceva ce site-ul tău folosește legitim. Configurarea este gratuită.

Want to fix this on your own domain? See the free guide →