Ce este CSP (Content Security Policy)?
Reguli care controleaza ce resurse poate incarca pagina
Definiție CSP (Content Security Policy)
CSP este un antet de securitate care spune browserului exact ce resurse (scripturi, imagini, fonturi) sunt permise pe pagina. Daca un atacator incearca sa injecteze cod malitios, browserul il blocheaza automat pentru ca nu este in lista de surse aprobate. Este una dintre cele mai eficiente protectii impotriva atacurilor XSS.
CSP functioneaza ca un bodyguard la intrarea unui club — lasa sa intre doar persoanele de pe lista.
De ce contează CSP (Content Security Policy)
Content Security Policy este cea mai eficienta aparare impotriva atacurilor XSS, reducand suprafata de atac cu peste 90% cand este configurat corect. Fara CSP, orice vulnerabilitate XSS permite executarea nelimitata de cod malitios in browserul vizitatorului, inclusiv furt de cookie-uri si redirectionari.
Cum verifici CSP (Content Security Policy)
SoftAudit parseaza antetul Content-Security-Policy si evalueaza fiecare directiva: script-src, style-src, img-src, connect-src, frame-ancestors. Raporteaza utilizarea unsafe-inline sau unsafe-eval si verifica daca directiva default-src este setata ca fallback.
Verifică securitatea site-ului →Greșeli frecvente
Includerea unsafe-inline in script-src anuleaza practic protectia CSP impotriva XSS. O alta problema frecventa este folosirea wildcardului * in directivele sursa, ceea ce permite incarcarea resurselor de pe orice domeniu, inclusiv cele controlate de atacatori.
Bune practici
Defineste o politica stricta cu nonce-uri sau hash-uri pentru scripturi, eliminand complet unsafe-inline si unsafe-eval. Porneste in modul Content-Security-Policy-Report-Only pentru a identifica resursele blocate inainte de activarea politicii efective.
Verifică acum
Folosește instrumentul gratuit SoftAudit pentru a verifica csp (content security policy) pe site-ul tău.
Verificare Securitate — GratuitÎntrebări frecvente
Ce este CSP (Content Security Policy)?
CSP este un antet de securitate care spune browserului exact ce resurse (scripturi, imagini, fonturi) sunt permise pe pagina. Daca un atacator incearca sa injecteze cod malitios, browserul il blocheaza automat pentru ca nu este in lista de surse aprobate. Este una dintre cele mai eficiente protectii impotriva atacurilor XSS.
De ce este important CSP (Content Security Policy) pentru un website?
Content Security Policy este cea mai eficienta aparare impotriva atacurilor XSS, reducand suprafata de atac cu peste 90% cand este configurat corect. Fara CSP, orice vulnerabilitate XSS permite executarea nelimitata de cod malitios in browserul vizitatorului, inclusiv furt de cookie-uri si redirectionari.
Termeni asociați
Previne incadrarea site-ului in iframe-uri straine
Verifica integritatea fisierelor incarcate de pe alte servere
Impiedica browserul sa ghiceasca tipul fisierelor
Atac care forteaza un utilizator autentificat sa execute actiuni nedorite
Directiva CSP care cere browserului sa transforme automat cererile HTTP in HTTPS