Defaults.Exposed › อภิธานศัพท์ › Content-Security-Policy (CSP)
Content-Security-Policy (CSP)
หรือที่รู้จักในชื่อ: CSP, Content Security Policy
หนังสือกฎที่เว็บไซต์ของคุณให้เบราว์เซอร์ระบุโค้ดและเนื้อหาใดบ้างที่อนุญาตให้รัน — การป้องกันหลักต่อผู้โจมตีที่แทรกสคริปต์อันตรายลงในหน้าเว็บของคุณ
คืออะไร
Content-Security-Policy หรือ CSP คือรายการกฎที่เว็บไซต์ของคุณส่งให้เบราว์เซอร์ของผู้เข้าชมระบุว่าสคริปต์ รูปภาพ สไตล์ และเนื้อหาอื่นๆ ใดบ้างที่ อนุญาตให้โหลดและรัน — และโดยนัยบล็อกทุกสิ่งอื่น เหมือนการให้เบราว์เซอร์รายชื่อแขกและบอกให้ปฏิเสธใครก็ตามที่ไม่อยู่ในรายชื่อ
ทำไมถึงสำคัญต่อธุรกิจของคุณ
หนึ่งในการโจมตีเว็บไซต์ที่พบมากที่สุดคือการแอบแทรกโค้ดอันตรายเข้าไปในหน้า — ผ่านกล่องความคิดเห็น แบบฟอร์ม ปลั๊กอินที่ถูกจี้ หรือวิดเจ็ตบุคคลที่สามที่ถูกโจมตี เมื่อโค้ดนั้นรันในเบราว์เซอร์ของผู้เข้าชม มันสามารถขโมยการล็อกอิน จี้เซสชัน ขโมยรายละเอียดบัตรที่การชำระเงิน หรือทำให้หน้าเสียหาย
CSP คือเข็มขัดนิรภัยสำหรับสิ่งนี้ แม้ว่าผู้โจมตีจัดการแทรกโค้ดเข้ามาได้ เบราว์เซอร์ปฏิเสธที่จะรันอะไรก็ตามที่ไม่อยู่ในรายชื่อที่อนุมัติของคุณ — ดังนั้นการโจมตีก็ดับแทนที่จะปะทุ สำหรับธุรกิจที่รับการชำระเงินหรือการล็อกอินบนเว็บไซต์ นี่คือหนึ่งในการป้องกันที่มีคุณค่าสูงสุดที่คุณสามารถเพิ่มได้ และไม่มีค่าใช้จ่าย
วิธีตรวจสอบ / สิ่งที่ต้องทำ
เครื่องมือตรวจสอบฟรีของเราบอกคุณว่าเว็บไซต์ของคุณส่ง Content-Security-Policy หรือไม่และระบุว่าหายไป เพราะ CSP แสดงรายการเนื้อหาเฉพาะของเว็บไซต์ ของคุณ จึงต้องปรับแต่ง — คู่มือการแก้ไข CSP อธิบายการสร้างอย่างรอบคอบเพื่อปกป้องคุณโดยไม่ทำให้สิ่งใดที่เว็บไซต์ของคุณใช้อย่างถูกต้องเสีย ตั้งค่าได้ฟรี
ต้องการแก้ไขปัญหานี้บนโดเมนของคุณเองหรือไม่? ดูคู่มือฟรี →