Заголовок Content-Security-Policy
Заголовок HTTP Content Security Policy (CSP) позволяет администраторам веб-сайта контролировать источники контента, который потом будет обрабатываться пользовательским веб-браузером. По умолчанию блокирует загрузку контента со всех тех источников, которые не указаны в белом списке.
Данная технология помогает защититься от XSS-атак (Cross-site_scripting) и любым другим попыткам внедрения вредоносного кода.
Основные директивы
default-src - источники используемые по умолчанию;style-src - CSS стили;
font-src - шрифты;
img-src - изображения;
media-src - аудио и видео контент;
frame-src - фреймы (страница в странице);
script-src - скрипты (Java Script, PHP);
object-src - веб-плагины;
Использование CSP в nginx.conf (NGINX):
add_header Content-Security-Policy "default-src 'self' *.domain.ru";
self - доменное имя сайта.
В данном примере мы разрешаем загружать контент только с доверенного домена и запрещаем загружать его из любых других источников. Домен может быть любым.
Использование CSP в httpd.conf (Apache):
Header set Content-Security-Policy "default-src 'self';"
Использование Referrer-Policy в .htaccess:
<ifModule mod_headers.c>
Header set Content-Security-Policy "default-src 'self'"
</ifModule>
Last edited: