Defaults.Exposed › Glossary › Content-Security-Policy (CSP)

Content-Security-Policy (CSP)

Also known as: CSP, политика безопасности контента

Свод правил, который ваш сайт передаёт браузеру, перечисляя, какому именно коду и контенту разрешено выполняться — главная защита от внедрения злоумышленниками вредоносных скриптов в ваши страницы.

Что это

Content-Security-Policy, или CSP, — это список правил, который ваш сайт передаёт браузеру посетителя, указывая, каким скриптам, изображениям, стилям и прочему контенту разрешено загружаться и выполняться — и, тем самым, блокируя всё остальное. Это как дать браузеру список гостей и велеть разворачивать всех, кого в нём нет.

Почему это важно для бизнеса

Одна из самых частых атак на сайты — протащить вредоносный код на страницу: через поле комментариев, форму, взломанный плагин или скомпрометированный сторонний виджет. Стоит этому коду запуститься в браузере посетителя, и он может красть логины, перехватывать сессии, считывать данные карт на оформлении заказа или искажать страницу.

CSP — это ремень безопасности от такого. Даже если злоумышленнику удастся протащить код, браузер откажется выполнять то, чего нет в вашем утверждённом списке — и атака гаснет вместо того, чтобы сработать. Для бизнеса, который принимает платежи или логины на сайте, это одна из самых ценных защит, и она ничего не стоит.

Как проверить и что делать

Наша бесплатная проверка сообщит, отдаёт ли ваш сайт Content-Security-Policy, и пометит её отсутствие. Поскольку CSP перечисляет специфический контент вашего сайта, её нужно настраивать под себя — руководство по настройке CSP проводит через аккуратное построение политики так, чтобы она защищала, не ломая то, что ваш сайт законно использует. Настройка бесплатна.

Want to fix this on your own domain? See the free guide →