Site yayına hazırlanırken uygulanabilir bir CSP oluşturarak betik enjeksiyonu ve üçüncü taraf kaynak kontrolsüzlüğü riskini azaltın
Yönetim panelinde frame-ancestors 'none' olarak yapılandırarak sayfanın kimlik avı sitelerine gömülmesini önleyin
Geliştirme ortamında geliştirme ön ayar şablonuna geçerek http:, ws:, 'unsafe-inline' ve 'unsafe-eval' izin verin
Nginx, Cloudflare veya arka uç servis için doğrudan dağıtılabilecek CSP yanıt başlığı ve meta etiketi oluşturun
Özellikler
Kaynak kuralları kaynak türüne göre ayrı yapılandırılır: Betik, stil, resim, API adresi karışmaz
Yayına alma öncesi daha güvenli: Önce temel CSP tamamlanır, ardından politika kademeli olarak sıkılaştırılır
Beyaz liste tuzaklarından daha az kaçının: Kaynak yazmayı unutma, noktalı virgül atlama ve kural çakışması gibi yaygın hataları azaltın
Oluşturulduktan sonra dağıtıma hazır: Sunucu, CDN veya güvenlik ağ geçidine kopyalayıp doğrudan kullanmak için uygundur
Nasıl Kullanılır
Ön ayar şablonu seçin (sıkı üretim ortamı, dengeli öneri veya geliştirme yerel) veya manuel olarak yönerge satırı ekleyin
Her yönerge için kaynak değerini düzenleyin, hızlı kaynak düğmesiyle 'self', https: gibi işaretleri tek tuşla ekleyin
Report-Only modunun etkinleştirilip etkinleştirilmeyeceğini değiştirin, otomatik olarak oluşturulan HTTP yanıt başlığını ve HTML meta etiketini görüntüleyin
Risk uyarı listesini kontrol edin, sunucu yapılandırması veya sayfa head etiketi için CSP içeriğini kopyalayın
Sık Sorulan Sorular
CSP temel olarak hangi sorunları çözmek için kullanılır?
CSP, sayfanın hangi betik, stil, resim, API ve iframe kaynaklarını yükleyebileceğini sınırlamak için kullanılır. Ön uç güvenlik temel çizgisinde çok kritik bir katmandır.
CSP yapılandırırken en yaygın hatalar nelerdir?
Yaygın sorunlar arasında yanlış yazılmış beyaz liste, CDN alan adının atlanması, satır içi betik veya stilin yanlışlıkla engellenmesi ve test ortamı ile üretim ortamı kaynaklarının tutarsız olması bulunur. Oluşturucu, kural oluşturmanızı daha hızlı hale getirebilir.
Nginx, Cloudflare veya arka uç yanıt başlığı yapılandırması için uygun mu?
Evet. Oluşturulan CSP içeriği doğrudan Nginx, Apache, Node.js, Java, Cloudflare veya diğer güvenlik yanıt başlığı yapılandırmasına kopyalanabilir.
Bu araç site yayına alma öncesi güvenlik yapılandırması yapmak için uygun mu?
Kesinlikle uygun. Geliştirme ve operasyon ekibinin yayına alma öncesi temel CSP kurallarını hızlıca oluşturmasına yardımcı olarak manuel politika yazma sırasında eksiklik ve biçim hatalarını azaltır.