Defaults.Exposed › Glossary › Content-Security-Policy (CSP)

Content-Security-Policy (CSP)

Also known as: CSP, Content Security Policy

Набір правил, який ваш сайт передає браузеру з переліком того, якому коду та контенту дозволено виконуватися — головний захист від впровадження зловмисних скриптів у ваші сторінки.

Що це таке

Content-Security-Policy, або CSP, — це список правил, що ваш сайт передає браузеру відвідувача з вказівкою, яким скриптам, зображенням, стилям та іншому контенту дозволено завантажуватися і виконуватися — і, відповідно, блокуючи все решту. Це як дати браузеру список запрошених і сказати відхиляти всіх, кого немає у списку.

Чому це важливо для бізнесу

Одна з найпоширеніших атак на сайт — підсунути шкідливий код у сторінку: через поле коментарів, форму, зламаний плагін або скомпрометований сторонній віджет. Коли цей код виконується в браузері відвідувача, він може красти паролі, захоплювати сесії, зчитувати дані картки під час оформлення замовлення або спотворювати сторінку.

CSP — це ремінь безпеки від цього. Навіть якщо зловмиснику вдасться впровадити код, браузер відмовиться виконувати що-небудь, що не входить до вашого дозволеного списку — атака зупиняється, не встигнувши спрацювати. Для бізнесу, що приймає платежі або дані для входу на сайті, це один з найцінніших додаткових засобів захисту, і він нічого не коштує.

Як перевірити та що робити

Наш безкоштовний інструмент повідомить, чи надсилає ваш сайт Content-Security-Policy, і позначить відсутність такої. Оскільки CSP перелічує контент вашого конкретного сайту, він потребує індивідуального налаштування — посібник з налаштування CSP проводить через процес ретельного формування, щоб захистити вас, не зламавши нічого з того, що ваш сайт легітимно використовує. Налаштування безкоштовне.

Want to fix this on your own domain? See the free guide →