День добрый,
Content Security Policy (CSP) — технология для обеспечения безопасности пользователей, позволяющая вебмастеру четко объяснить браузеру, на какие адреса тот может выполнять межсайтовые запросы. Суть технологии заключается в том, что администратор сайта может указать список разрешенных источников для загрузки контента (скриптов, стилей, иллюстрация и тд..) И злоумышленник не сможет добавить на страницу что-то постороннее — рекламу, мобильный редирект и тд..
Несколько ссылок, где об этом можно почитать подробней
Описание директив на mozilla.org (на англ языке)
Улучшение сетевой безопасности с помощью Content Security Policy (хабр)
Как настроить Content Security Policy (CSP) на zabolotskikh.com
Инструкция от Google (на англ языке)
99 страниц на серче...
Нужно, https и CSP это разные вещи и они никак не связаны (и не заменяют друг друга — и то, и другое желательно). CSP используют такие гиганты как Facebook, Twitter, Gmail, Яндекс почта и тд… список можно продолжать (это можно проверить посмотрев ответ сервера в консоли). Все эти сайты давным давно работают на https и тем не менее настраивают политику безопасности для контента.
2. Треть (четверть, одна восьмая) моих пользователей не смогут пользоваться сайтом
И тут опять можно вспомнить про Facebook, Twitter, Gmail, Яндекс почта и тд. CSP не усложняет доступ к сайту, а делает его безопасней.
Цена свободная. Вопросы по настройке можно кидать прямо в комментах.
Content Security Policy (CSP) — технология для обеспечения безопасности пользователей, позволяющая вебмастеру четко объяснить браузеру, на какие адреса тот может выполнять межсайтовые запросы. Суть технологии заключается в том, что администратор сайта может указать список разрешенных источников для загрузки контента (скриптов, стилей, иллюстрация и тд..) И злоумышленник не сможет добавить на страницу что-то постороннее — рекламу, мобильный редирект и тд..
Несколько ссылок, где об этом можно почитать подробней
Описание директив на mozilla.org (на англ языке)
Улучшение сетевой безопасности с помощью Content Security Policy (хабр)
Как настроить Content Security Policy (CSP) на zabolotskikh.com
Инструкция от Google (на англ языке)
99 страниц на серче...
Частые заблуждения
1. У меня сайт на https и мне это не нужноНужно, https и CSP это разные вещи и они никак не связаны (и не заменяют друг друга — и то, и другое желательно). CSP используют такие гиганты как Facebook, Twitter, Gmail, Яндекс почта и тд… список можно продолжать (это можно проверить посмотрев ответ сервера в консоли). Все эти сайты давным давно работают на https и тем не менее настраивают политику безопасности для контента.
2. Треть (четверть, одна восьмая) моих пользователей не смогут пользоваться сайтом
И тут опять можно вспомнить про Facebook, Twitter, Gmail, Яндекс почта и тд. CSP не усложняет доступ к сайту, а делает его безопасней.
Цена свободная. Вопросы по настройке можно кидать прямо в комментах.
1. Установил (события сами обновились, флаг стоит в настройках для этого)
2. Открыл настройки - поставил отчеты, логирование, цифру 1 в поле default-src
3. На сайте вижу ошибки CSP и заголовок соответствующий
событие установлено:
в логах совершенно пусто... (
Я вообще о таком не знал
Вопросы:
А что будет в браузерах, которые не поддерживают CSP?
Я конечно догадываюсь, что будет как было, т.е. все посторонние включения пройдут свободно. Но вдруг нюансы какие?
Можно ли каким-то образом разрешить включение стронних картинок и видео в фрейме, не перечисляя всех возможных источников?
Вот я добавил свой придуманный заголовок - браузер его просто пропустил.
Есть еще мысль, попробую потестировать.
Но вместо хука можно придумать плагин-расширение для html редактора. В других компонентах, думаю, это не нужно.
можно ли как-то сделать, чтобы не нужно было писать почти одинаковые сурсы? если у них есть что-то общее, то можно это общее оставить, а остальное звездочками по бокам... тогда это упростит все )