Defaults.Exposed › Glossary › Content-Security-Policy (CSP)

Content-Security-Policy (CSP)

Also known as: CSP, Content Security Policy

Bộ quy tắc trang web của bạn đưa cho trình duyệt liệt kê chính xác mã và nội dung nào được phép chạy — biện pháp phòng thủ chính chống kẻ tấn công chèn script độc hại vào trang của bạn.

Content-Security-Policy là gì

Content-Security-Policy, hay CSP, là danh sách quy tắc trang web của bạn đưa cho trình duyệt của khách truy cập cho biết script, hình ảnh, kiểu dáng và nội dung khác nào được phép tải và chạy — và, ngụ ý, chặn mọi thứ khác. Giống như đưa cho trình duyệt danh sách khách và bảo nó từ chối bất kỳ ai không có trong đó.

Tại sao điều này quan trọng với doanh nghiệp của bạn

Một trong những cuộc tấn công trang web phổ biến nhất là lén mã độc vào một trang — qua hộp bình luận, biểu mẫu, plugin bị xâm phạm hoặc widget bên thứ ba bị tấn công. Một khi mã đó chạy trong trình duyệt của khách truy cập, nó có thể đánh cắp thông tin đăng nhập, chiếm phiên, skim chi tiết thẻ tại thanh toán hoặc làm xấu trang.

CSP là dây an toàn cho điều này. Ngay cả khi kẻ tấn công quản lý để chèn mã vào, trình duyệt từ chối chạy bất cứ thứ gì không có trong danh sách được chấp thuận — vì vậy cuộc tấn công xẹp xuống thay vì bắt đầu. Với doanh nghiệp nhận thanh toán hoặc thông tin đăng nhập trên trang, đây là một trong những bảo vệ có giá trị cao nhất bạn có thể thêm vào và không tốn gì.

Cách kiểm tra và xử lý

Công cụ kiểm tra miễn phí của chúng tôi cho bạn biết trang web của bạn có gửi Content-Security-Policy và đánh dấu nếu thiếu. Vì CSP liệt kê nội dung cụ thể của trang web bạn, nó cần được điều chỉnh — hướng dẫn khắc phục CSP hướng dẫn xây dựng cẩn thận để bảo vệ bạn mà không phá những gì trang web của bạn dùng hợp pháp. Miễn phí để thiết lập.

Want to fix this on your own domain? See the free guide →