Defaults.Exposed

Defaults.Exposed術語表 › 內容安全政策(CSP)

內容安全政策(CSP)

又稱: CSP, Content Security Policy

你的網站交給瀏覽器的一份規則手冊,明確列出允許運行哪些程式碼和內容——是抵禦攻擊者向你頁面注入惡意腳本的主要防線。

它是什麼

內容安全政策(CSP)是你的網站交給訪客瀏覽器的一份規則清單,寫明哪些腳本、圖片、樣式和其他內容允許載入並運行——言下之意,其餘一概攔下。這就像遞給瀏覽器一份賓客名單,並叮嚀它把不在名單上的人擋在門外。

為什麼這關係到你的生意

最常見的網站攻擊之一,就是把惡意程式碼偷塞進頁面——透過評論框、表單、被劫持的外掛程式,或一個被攻破的第三方元件。一旦那段程式碼在訪客瀏覽器裡運行,它就能竊取登入資訊、劫持工作階段、在結帳時刮走銀行卡資料,或篡改頁面。

CSP 就是為此繫上的安全帶。即便攻擊者真把程式碼塞了進來,瀏覽器也會拒絕運行任何不在你許可名單上的東西——攻擊於是啞火,而不是開火。對於在網站上收款或處理登入的生意來說,這是你能加上的最高價值保護之一,而且不花錢。

怎麼判斷 / 該怎麼做

我們的免費檢測會告訴你網站是否發送了內容安全政策,並在缺失時標出。由於 CSP 列的是網站特有的內容,它需要量身定制——CSP 修復指南 會帶你一步步謹慎地構建一份,讓它在保護你的同時不破壞網站正當使用的任何東西。設定它是免費的。

想在你自己的網域上修復這一點嗎? 查看免費指南 →