Defaults.Exposed › Glossary › Content-Security-Policy (CSP)

Content-Security-Policy (CSP)

Also known as: CSP, Content Security Policy

Sitenizin tarayıcıya hangi kod ve içeriklerin çalışmasına izin verildiğini listeleyen bir kural kitabı; saldırganların sayfalarınıza kötü amaçlı komut dosyaları enjekte etmesine karşı temel savunma.

Nedir

Content-Security-Policy (CSP), web sitenizin ziyaretçinin tarayıcısına hangi komut dosyaları, görseller, stiller ve diğer içeriklerin yüklenip çalışmasına izin verildiğini söyleyen bir kurallar listesidir; listede olmayan her şeyi zımnen engeller. Tarayıcıya bir davetli listesi verip “listede olmayanları içeri alma” demek gibidir.

İşletmeniz için neden önemli

En yaygın web sitesi saldırılarından biri, sayfaya kötü amaçlı kod sokmaktır: bir yorum kutusu, form, ele geçirilmiş bir eklenti veya tehlikeye girmiş bir üçüncü taraf widget aracılığıyla. Bu kod ziyaretçinin tarayıcısında çalışmaya başladığında giriş bilgilerini çalabilir, oturumları ele geçirebilir, kasadaki kart bilgilerini toplayabilir ya da sayfayı tahrip edebilir.

CSP bunun emniyet kemeridir. Saldırgan kodu sayfaya sızdırsa bile tarayıcı, onaylı listenizde olmayan hiçbir şeyi çalıştırmayı reddeder; böylece saldırı alevlenmek yerine söner. Sitesinde ödeme veya giriş alan bir işletme için bu, eklenebilecek en yüksek değerli korumalardan biridir ve maliyeti sıfırdır.

Nasıl anlaşılır / ne yapılır

Ücretsiz denetleyicimiz sitenizin bir Content-Security-Policy gönderip göndermediğini söyler ve eksikse bunu işaretler. CSP sizin sitenizin belirli içeriklerini listelediğinden özelleştirilmesi gerekir; CSP düzeltme rehberi sizi koruyacak ama sitenizin meşru olarak kullandığı hiçbir şeyi bozmayacak şekilde özenle oluşturma sürecinde yönlendirir. Kurulumu ücretsizdir.

Want to fix this on your own domain? See the free guide →