Content Security Policy
1. script-src 'self' 'nonce-XYZ'
Kontroluje źródła JavaScript. Najważniejsza ochrona przed XSS.
'nonce' pozwala bezpiecznie używać pojedynczych inline scriptów.
2. object-src 'none'
Blokuje <object>, <embed>, <applet>. Chroni przed exploitami w starych pluginach.
3. frame-ancestors 'none'
Blokuje osadzanie strony w iframe. Chroni przed clickjackingiem.
4. base-uri 'none'
Blokuje manipulację tagiem <base>. Chroni przed zmianą ścieżek URL.
5. form-action 'self'
Ogranicza, dokąd formularze mogą wysyłać dane. Chroni przed wyciekiem danych.
6. connect-src 'self'
Kontroluje połączenia AJAX, fetch, WebSocket i API. Chroni przed exfiltracją danych.
7. img-src 'self' data:
Kontroluje źródła obrazów. Chroni przed tracking pixelami i wyciekiem danych.
8. style-src 'self' 'nonce-XYZ'
Kontroluje źródła CSS. Chroni przed CSS injection i niebezpiecznymi inline stylami.
9. upgrade-insecure-requests
Automatycznie zamienia wszystkie HTTP na HTTPS. Chroni przed MITM i mixed content.
10. block-all-mixed-content
Blokuje ładowanie zasobów HTTP na stronie HTTPS. Wymusza pełne bezpieczeństwo transportu.
Kontroluje źródła JavaScript. Najważniejsza ochrona przed XSS.
'nonce' pozwala bezpiecznie używać pojedynczych inline scriptów.
2. object-src 'none'
Blokuje <object>, <embed>, <applet>. Chroni przed exploitami w starych pluginach.
3. frame-ancestors 'none'
Blokuje osadzanie strony w iframe. Chroni przed clickjackingiem.
4. base-uri 'none'
Blokuje manipulację tagiem <base>. Chroni przed zmianą ścieżek URL.
5. form-action 'self'
Ogranicza, dokąd formularze mogą wysyłać dane. Chroni przed wyciekiem danych.
6. connect-src 'self'
Kontroluje połączenia AJAX, fetch, WebSocket i API. Chroni przed exfiltracją danych.
7. img-src 'self' data:
Kontroluje źródła obrazów. Chroni przed tracking pixelami i wyciekiem danych.
8. style-src 'self' 'nonce-XYZ'
Kontroluje źródła CSS. Chroni przed CSS injection i niebezpiecznymi inline stylami.
9. upgrade-insecure-requests
Automatycznie zamienia wszystkie HTTP na HTTPS. Chroni przed MITM i mixed content.
10. block-all-mixed-content
Blokuje ładowanie zasobów HTTP na stronie HTTPS. Wymusza pełne bezpieczeństwo transportu.
Brak komentarzy:
Prześlij komentarz
Masz pytanie dotyczące zdalnej naprawy lub problemu z komputerem? Zostaw komentarz — odpowiem tak szybko, jak to możliwe.