Content-Security-Policy
Контролирует, какие ресурсы браузер может загружать для страницы, помогая предотвратить XSS и инъекции данных.
Синтаксис
Content-Security-Policy: <директива> <источник>; <директива> <источник>Пример
Content-Security-Policy: default-src 'self'; script-src 'self' https://cdn.example.comОписание
Заголовок Content-Security-Policy (CSP) — один из самых мощных механизмов безопасности для веб-разработчиков. Он определяет список доверенных источников контента, эффективно предотвращая межсайтовый скриптинг (XSS) и другие атаки с внедрением кода.
CSP работает через директивы, управляющие загрузкой ресурсов: default-src задаёт политику по умолчанию, script-src контролирует источники JavaScript, style-src управляет CSS, а img-src — изображениями.
Правильная реализация CSP требует планирования. Начните с Content-Security-Policy-Report-Only для мониторинга нарушений без блокировки, затем постепенно ужесточайте политику.
Проверьте, правильно ли ваш сайт отправляет этот заголовок
Проверить заголовки →