CSP Nedir? (İçerik Güvenlik Politikası)
CSP Nedir? (İçerik Güvenlik Politikası) (CSP),Siteler Arası Komut Dosyası Çalıştırma (XSS)ve veri ekleme saldırıları da dahil olmak üzere belirli saldırı türlerini algılamaya ve azaltmaya yardımcı olan ek bir güvenlik katmanıdır. Bu saldırılar veri hırsızlığından site tahribatı, kötü amaçlı yazılım dağıtımına kadar her şey için kullanılır.
CSP’yi etkinleştirmek için, web sunucunuzu İçerik Güvenliği İlkesi
HTTP üstbilgisini döndürecek şekilde yapılandırmanız gerekir. (Bazen üstbilgiden bahsedildiğini görebilirsiniz, ancak bu eski bir sürüm ve artık belirtmeniz gerekmez.) X-Content-Security-Policy
Alternatif olarak, <meta>element
bir ilkeyi yapılandırmak için kullanılabilir, örneğin:
<meta http-equiv="Content-Security-Policy"
content="default-src 'self'; img-src https://*; child-src 'none';">
CSP’nin birincil amacı XSS saldırılarını azaltmak ve raporlamaktır. XSS saldırıları, tarayıcının sunucudan alınan içeriğe olan güvenini istismar eder. Kötü amaçlı komut dosyaları kurbanın tarayıcısı tarafından yürütülür, çünkü tarayıcı içeriğin kaynağına güvenir, hatta geldiği yerden gelmese bile.
CSP, tarayıcının yürütülebilir komut dosyalarının geçerli kaynakları olarak düşünmesi gereken etki alanlarını belirterek sunucu yöneticilerinin XSS’nin oluşabileceği vektörleri azaltmasını veya ortadan kaldırmasını mümkün kılar. CSP uyumlu bir tarayıcı, yalnızca izin verilen etki alanlarından alınan kaynak dosyalara yüklenen komut dosyalarını yürütür ve diğer tüm komut dosyalarını (satır içi komut dosyaları ve olay işleme HTML öznitelikleri dahil) yoksayır.
Nihai bir koruma biçimi olarak, komut dosyalarının yürütülmesine asla izin vermek istemeyen siteler, komut dosyasının yürütülmesine genel olarak izin vermeyi tercih edebilir.