Defaults.Exposed › Glossary › Content-Security-Policy (CSP)

Content-Security-Policy (CSP)

Also known as: CSP, Content Security Policy

Pravilnik, ki ga vaša stran da brskalniku in navaja točno katere kode in vsebine smejo teči — glavna obramba pred napadalci, ki v vaše strani injicirajo zlonamerne skripte.

Kaj je to

Content-Security-Policy ali CSP je seznam pravil, ki ga vaše spletno mesto preda brskalniku obiskovalca in pravi, kateri skripti, slike, slogi in druga vsebina smejo naložiti in teči — in po implikaciji blokira vse ostalo. Kot bi brskalniku dali seznam gostov in mu naročili, da zavrne vsakogar, ki ga ni na njem.

Zakaj je to pomembno za vaše podjetje

Eden najpogostejših napadov na spletna mesta je tihotapljenje zlonamerne kode na stran — prek polja za komentarje, obrazca, ugrabljenega vtičnika ali ogroženega gradnika tretje osebe. Ko ta koda teče v brskalniku obiskovalca, lahko ukrade prijave, ugrabi seje, posnema podatke o kartici pri nakupu ali pokvari stran.

CSP je varnostni pas za to. Četudi napadalcu uspe vriniti kodo, brskalnik zavrne poganjanje česarkoli, kar ni na vašem odobrenem seznamu — napad se ugasne namesto da bi se sprožil. Za podjetje, ki na svoji strani sprejema plačila ali prijave, je to ena od zaščit z najvišjo vrednostjo, ki jo lahko dodate, in nič ne stane.

Kako preveriti in kaj storiti

Naš brezplačni preverjalnik vam pove, ali vaša stran pošilja Content-Security-Policy in označi, če manjka. Ker CSP navaja vsebino vaše specifične strani, ga je treba prilagoditi — vodič za popravek CSP vodi skozi previdno gradnjo, tako da vas ščiti brez lomljenja česarkoli, kar vaša stran legitimno uporablja. Nastavitev je brezplačna.

Want to fix this on your own domain? See the free guide →