Jako handlowiec wiem, że bezpieczna strona to dziś podstawa. Klienci chcą mieć pewność, że ich dane są chronione, a strona godna zaufania. Zauważyłem, że wiele stron, choć dobrze zaprojektowanych, jest narażonych na ataki. Dlatego chcę podzielić się rozwiązaniem, które każda firma powinna stosować: Content-Security-Policy (CSP). Ta funkcja pozwala kontrolować, skąd przeglądarka może ładować zasoby na stronie – to świetny sposób na ochronę przed niebezpiecznymi kodami i złośliwymi atakami. Poniżej opisuję, jak wdrożyć CSP, by Twoja strona była bezpieczna, a klienci czuli się pewnie.
Co to jest Content-Security-Policy?
Content-Security-Policy (CSP) to nagłówek HTTP, który kontroluje, skąd przeglądarka może pobierać zasoby. Dzięki CSP jasno określasz, które domeny są zaufane i mogą dostarczać zasoby, a które nie. To narzędzie pomaga zabezpieczyć stronę przed ładowaniem nieautoryzowanych treści i znacząco zmniejsza ryzyko ataków.
Przykład Content-Security-Policy – Praktyczne Ustawienia
Poniżej zamieszczam przykład konfiguracji CSP przy użyciu dyrektywy Header add na serwerze Apache. Wdrożenie tej konfiguracji wzmacnia bezpieczeństwo strony, co pozytywnie wpłynie na odbiór firmy przez klientów.
Header add Content-Security-Policy "default-src 'none'; media-src 'self' https://static.cloudflareinsights.com/; font-src 'self' https://static.cloudflareinsights.com/ https://fonts.googleapis.com/ data: https:; style-src 'self' https://ajax.googleapis.com/ https://static.cloudflareinsights.com/ https://fonts.googleapis.com/ 'unsafe-inline' data:; img-src 'self' data: https:; worker-src blob https://kursypolska.pl/; script-src 'self' https://ajax.googleapis.com/ https://www.googletagmanager.com/gtag/ https://region1.google-analytics.com/g/ https://www.google-analytics.com/g/ https://static.cloudflareinsights.com/ https://www.google-analytics.com/g/ 'unsafe-eval' 'unsafe-inline'; connect-src 'self' https://ajax.googleapis.com/ https://static.cloudflareinsights.com/ https://region1.google-analytics.com/g/ https://www.google-analytics.com/g/;"
Wyjaśnienie poszczególnych ustawień
default-src 'none';
Domyślnie blokuje wszystkie źródła, a w dalszej konfiguracji pozwalamy na ładowanie tylko z wybranych domen.media-src 'self' https://static.cloudflareinsights.com/;
Multimedialne zasoby mogą pochodzić jedynie z naszej domeny ('self') ihttps://static.cloudflareinsights.com/.font-src 'self' https://static.cloudflareinsights.com/ https://fonts.googleapis.com/ data: https:;
Czcionki mogą być pobierane wyłącznie z domen zaufanych i wybranych – dzięki temu mamy pewność, że nie pojawi się tam nieautoryzowana zawartość.style-src 'self' ... 'unsafe-inline'
Stylizacje pobierane z zaufanych źródeł, z dodanymunsafe-inline, choć lepiej stosować je ostrożnie.
Dlaczego warto wdrożyć CSP?
Content-Security-Policy to sposób na kontrolowanie zasobów ładowanych na stronie i blokowanie nieautoryzowanych elementów. Z perspektywy handlowca – to znaczący krok w stronę ochrony danych klientów i budowania ich zaufania. Dzięki CSP ograniczasz ryzyko ataków i pokazujesz, że dbasz o bezpieczeństwo użytkowników, co dla klientów ma ogromne znaczenie.
Jak dodać Content-Security-Policy?
Aby wdrożyć CSP na serwerze Apache, wystarczy dodać nagłówek w .htaccess lub konfiguracji serwera:
<IfModule mod_headers.c>
Header add Content-Security-Policy "default-src 'none'; media-src 'self' https://static.cloudflareinsights.com/; font-src 'self' https://static.cloudflareinsights.com/ https://fonts.googleapis.com/ data: https:; style-src 'self' https://ajax.googleapis.com/ https://static.cloudflareinsights.com/ https://fonts.googleapis.com/ 'unsafe-inline' data:; img-src 'self' data: https:; worker-src blob https://kursypolska.pl/; script-src 'self' https://ajax.googleapis.com/ https://www.googletagmanager.com/gtag/ https://region1.google-analytics.com/g/ https://www.google-analytics.com/g/ https://static.cloudflareinsights.com/ https://www.google-analytics.com/g/ 'unsafe-eval' 'unsafe-inline'; connect-src 'self' https://ajax.googleapis.com/ https://static.cloudflareinsights.com/ https://region1.google-analytics.com/g/ https://www.google-analytics.com/g/;"
</IfModule>
Dlaczego warto zainwestować czas w CSP?
Content-Security-Policy pomaga chronić stronę przed potencjalnymi atakami, a klienci doceniają firmy dbające o bezpieczeństwo. Dzięki CSP możesz zapewnić pełną kontrolę nad treściami ładowanymi na stronie, co tworzy poczucie zaufania i pozytywny wizerunek firmy w oczach użytkowników.
Jeśli chcesz sprawdzić, jak skuteczna jest Twoja polityka CSP, skorzystaj z narzędzia CSP Evaluator. To proste rozwiązanie pomoże Ci wykryć potencjalne luki i poprawić bezpieczeństwo witryny
Pamiętaj, że każda ingerencja w pliki konfiguracyjne strony może wiązać się z ryzykiem uszkodzenia jej działania. Przed wprowadzeniem zmian upewnij się, że kod jest odpowiednio dostosowany do potrzeb Twojej strony, zwłaszcza jeśli korzystasz z WordPressa lub innych systemów CMS. Zawsze wykonaj kopię zapasową plików konfiguracyjnych przed edycją – dzięki temu w razie problemów łatwo przywrócisz stronę do wcześniejszej wersji. Takie podejście pozwoli Ci bezpiecznie zabezpieczyć witrynę i uniknąć problemów
