Salt la conținut
Securitate Web

Ce este CSP (Content Security Policy)?

Reguli care controleaza ce resurse poate incarca pagina

Definiție CSP (Content Security Policy)

CSP este un antet de securitate care spune browserului exact ce resurse (scripturi, imagini, fonturi) sunt permise pe pagina. Daca un atacator incearca sa injecteze cod malitios, browserul il blocheaza automat pentru ca nu este in lista de surse aprobate. Este una dintre cele mai eficiente protectii impotriva atacurilor XSS.

CSP functioneaza ca un bodyguard la intrarea unui club — lasa sa intre doar persoanele de pe lista.

De ce contează CSP (Content Security Policy)

Content Security Policy este cea mai eficienta aparare impotriva atacurilor XSS, reducand suprafata de atac cu peste 90% cand este configurat corect. Fara CSP, orice vulnerabilitate XSS permite executarea nelimitata de cod malitios in browserul vizitatorului, inclusiv furt de cookie-uri si redirectionari.

Cum verifici CSP (Content Security Policy)

SoftAudit parseaza antetul Content-Security-Policy si evalueaza fiecare directiva: script-src, style-src, img-src, connect-src, frame-ancestors. Raporteaza utilizarea unsafe-inline sau unsafe-eval si verifica daca directiva default-src este setata ca fallback.

Verifică securitatea site-ului →

Greșeli frecvente

Includerea unsafe-inline in script-src anuleaza practic protectia CSP impotriva XSS. O alta problema frecventa este folosirea wildcardului * in directivele sursa, ceea ce permite incarcarea resurselor de pe orice domeniu, inclusiv cele controlate de atacatori.

Bune practici

Defineste o politica stricta cu nonce-uri sau hash-uri pentru scripturi, eliminand complet unsafe-inline si unsafe-eval. Porneste in modul Content-Security-Policy-Report-Only pentru a identifica resursele blocate inainte de activarea politicii efective.

Verifică acum

Folosește instrumentul gratuit SoftAudit pentru a verifica csp (content security policy) pe site-ul tău.

Verificare Securitate — Gratuit

Întrebări frecvente

Ce este CSP (Content Security Policy)?

CSP este un antet de securitate care spune browserului exact ce resurse (scripturi, imagini, fonturi) sunt permise pe pagina. Daca un atacator incearca sa injecteze cod malitios, browserul il blocheaza automat pentru ca nu este in lista de surse aprobate. Este una dintre cele mai eficiente protectii impotriva atacurilor XSS.

De ce este important CSP (Content Security Policy) pentru un website?

Content Security Policy este cea mai eficienta aparare impotriva atacurilor XSS, reducand suprafata de atac cu peste 90% cand este configurat corect. Fara CSP, orice vulnerabilitate XSS permite executarea nelimitata de cod malitios in browserul vizitatorului, inclusiv furt de cookie-uri si redirectionari.

Termeni asociați

Înapoi la glosarul complet