Defaults.Exposed › Glossary › Content-Security-Policy (CSP)

Content-Security-Policy (CSP)

Also known as: CSP, Content Security Policy

Rulebook, ktorý váš web dáva prehliadaču so zoznamom presne toho kódu a obsahu, ktorý smie bežať — hlavná obrana proti útočníkom vkladajúcim škodlivé skripty do vašich stránok.

Čo to je

Content-Security-Policy, alebo CSP, je zoznam pravidiel, ktorý vaša webová stránka odovzdá prehliadaču návštevníka, hovoriac, ktoré skripty, obrázky, štýly a iný obsah smú byť načítané a spustené — a tým implicitne blokuje všetko ostatné. Je to ako dať prehliadaču zoznam hostí a povedať mu, aby odmietol každého, kto na ňom nie je.

Prečo je to dôležité pre vaše podnikanie

Jedným z najbežnejších útokov na webové stránky je pašovanie škodlivého kódu na stránku — cez pole komentárov, formulár, hacknutý plugin alebo kompromitovaný widget tretej strany. Keď takýto kód beží v prehliadači návštevníka, môže kradnúť prihlasovacie údaje, unášať relácie, zberať platobné údaje pri pokladni alebo deformovať stránku.

CSP je bezpečnostný pás pre tento prípad. Aj keď sa útočníkovi podarí vložiť kód, prehliadač odmietne spustiť čokoľvek, čo nie je na vašom schválenom zozname — útok teda nevybuchne. Pre firmu, ktorá na svojich stránkach spracúva platby alebo prihlasovacie údaje, je to jedna z najcennejších ochrán, ktoré môžete pridať, a nič nestojí.

Ako to zistiť / čo robiť

Náš bezplatný nástroj vám povie, či vaše stránky posielajú Content-Security-Policy, a upozorní, ak chýba. Keďže CSP uvádza konkrétny obsah vašich stránok, musí byť prispôsobená — sprievodca opravou CSP prevádza starostlivým zostavením, aby vás chránil bez toho, aby niečo rozbil, čo váš web legitímne používa. Nastavenie je bezplatné.

Want to fix this on your own domain? See the free guide →