CSP
Även känt som: Content Security Policy
HTTP-header som begränsar vilka resurser en webbsida får ladda — skyddar mot XSS och data-injicering. Rekommenderat säkerhetslager för moderna sajter.
CSP (Content Security Policy) är en säkerhetsheader som berättar för webbläsaren vilka typer av resurser som får laddas på sidan. Utan CSP kan en angripare som lyckas injicera HTML (XSS-attack) ladda in skadlig JavaScript från valfri domän. Med CSP kan du låsa ner exakt vilka domäner som är tillåtna för scripts, bilder, stilar, typsnitt och andra resurser.
En grundläggande CSP för en WordPress-sajt kan se ut: "default-src 'self'; script-src 'self' https://www.googletagmanager.com; img-src 'self' data: https:;". Det tillåter bara scripts från den egna domänen plus Google Tag Manager, bilder från vilka HTTPS-källor som helst plus base64-inbäddade. Säkerheten blir mycket högre än ingen CSP alls.
CSP är en kraftfull men krånglig säkerhetsåtgärd — fel konfiguration kan bryta din sajt. Börja med "Content-Security-Policy-Report-Only"-läge som loggar överträdelser utan att blockera. Analysera loggarna några veckor och identifiera vilka tredje-parts-källor sajten behöver. Gå sedan till blockerande läge. Verktyg som report-uri.com eller Sentry kan hjälpa till att fånga CSP-rapporter i produktion.
Fördjupning på denna.se
Relaterade termer
HTTPS
Krypterat webb-protokoll som säkrar kommunikation mellan besökare och server. Obligatoriskt för alla moderna sajter — ofta genom Let's Encrypt-certifikat.
SSL / TLS
Krypteringsprotokoll som säkrar datatrafik på internet. Aktiveras via SSL-certifikat och möjliggör HTTPS.
CORS
Säkerhetsmekanism i webbläsare som kontrollerar när en sajt får göra förfrågningar till en annan domän. Viktigt för API:er och moderna webbapplikationer.