Документация InstantCMS

для администраторов и разработчиков

Инструменты пользователя

Инструменты сайта

Вы находитесь здесь: Справочный центр InstantCMS » Руководство администратора » Компоненты » Компонент "Политика защиты контента"
manual:components:csp

Содержание

Компонент "Политика защиты контента"

Панель управленияКомпонентыПолитика защиты контента

Описание

Компонент реализует добавление HTTP заголовков CSP ко всем ответам InstantCMS. Content Security Policy — это механизм обеспечения безопасности, с помощью которого можно защищаться от атак с внедрением контента, например, межсайтового скриптинга (XSS, cross site scripting). CSP описывает безопасные источники загрузки ресурсов, устанавливает правила использования встроенных стилей, скриптов, а также динамической оценки JavaScript — например, с помощью eval. Загрузка с ресурсов, не входящих в «белый список», блокируется.

Опции

Включить CSP HTTP заголовки. Опция непосредственно включает добавление HTTP заголовков. Внимание! неправильно настроенная политика может сломать вам отображение сайта в браузере. Крайне рекомендуется сначала включать с опцией «Режим «Только отчёты»».

Включить регистрацию отчётов. При включении опции в заголовки также будет добавлено указание отсылать все ошибки на ваш сайт. Отчёты будут доступны в админке по пути:

Панель управленияКомпонентыПолитика защиты контентаОтчёты

Всегда включайте регистрацию отчётов, даже после успешной настройки. Отчёты хранить не имеет смысла и после настройки вы можете их очистить. При этом проверяйте периодически на наличие новых.

Режим «Только отчёты». Политика включена, но браузер не будет ничего блокировать. Ошибки будут видны в консоли браузера и фиксироваться в отчёты на вашем сайте. Всегда включайте эту опцию пока не настроите политику без ошибок.

Текущая строка Content-Security-Policy. Это готовая строка политики, которая будет применяться на сайте. Это поле выведено в режиме «только для чтения». Строка в нём формируется генератором политики. При непосредственном добавлении HTTP заголовка эта строка дополняется автоматически другими параметрами, не связанными с генератором политики.

Генератор строки Content Security Policy

Воспользуйтесь генератором, чтобы настроить политику. Генератор представлен визуальными блоками по названию директив и опций в них. Добавляйте нужные, настраивайте и сохраняйте настройки. Настраивайте так, чтобы при минимальных настройках браузер ничего не блокировал на вашем сайте.

Каждый заголовок блока с названием директивы имеет подсказку с описанием. Каждая опция также снабжена подсказкой (наведите курсор мыши). Директива default-src является базовой и устанавливает умолчания, остальные её дополняют.

Опция «nonce» у некоторых директив это генерируемая случайным образом на сервере строковая переменная, которая меняется для каждого запроса. Она подключается как атрибут к script тегам, в том числе и к инлайн.

Сгенерированную политику рекомендуется добавить для вывода в ответы ошибок вашего HTTP сервера. Имеются в виду ответы с ошибками самого веб сервера, например о переполнении длины запроса, длины cookie, Bad Gateway и другие.

Назад к разделу Компоненты

manual/components/csp.txt · Последнее изменение: 12.11.2024 14:38 — fuze
Donate Powered by PHP Valid HTML5 Valid CSS Driven by DokuWiki