Content-Security-Policy Конструктор

Версия заголовка

В данный момент рекомендуется использовать стандарт заголовка CSP Level 2

Протокол

HTTP | Незащищённый протокол. Сайт доступен по незащищённому протоколу. В случае использования незащищённого протокола в работу скриптов и отображаемых изображений будут несанкционированно вмешиваться операторы связи и разного рода посредники, например, прокси-сервера, плагины в браузерах. Также незащищённый трафик наиболее подвержен атакам злоумышленников.

HTTPS | Защищённый протокол. Сайт доступен по защищённому протоколу. Подделка передаваемого трафика практически невозможна, но программное обеспечение на конечных устройствах пользователей в состоянии вносить изменения в уже расшифрованный контент.

Значения по умолчанию

Данные настройки будут применяться вместо тех директив *-src, которые не были заданы в явной форме.

Полный запрет. Блокируются любые попытки что-либо загрузить и запустить на защищаемой странице или что-либо передать с неё.

Цели соединений

Любой сайт. Разрешены загрузка с любых сайтов и/или исполнение внешних ресурсов на защищаемой странице, а также отправка данных с защищаемой страницы на любой сайт.

Исходный сайт. Загрузка и/или исполнение на защищаемой странице разрешена только для ресурсов в рамках исходного сайта. Отправка данных с защищаемой страницы разрешена только на исходный сайт.

Адреса доверенных целей. Дополнительно разрешены загрузка с любых сайтов и/или исполнение внешних ресурсов на защищаемой странице, а также отправка данных с защищаемой страницы на указанные адреса сайтов.

Образец нарушения. При формировании отчёта о нарушении прикладывать пример кода, который вызвал нарушение. При наличии технической возможности в отчёте будут присутствовать первые 40 символов проблемного кода.

Соединения

Запрет использования. Блокируются любые попытки отправить данные с защищаемой странице.

Цели соединений

Любой сайт. Данные с защищаемой страницы разрешено отправлять на любой сайт.

Исходный сайт. Данные с защищаемой страницы разрешено отправлять только на исходный сайт.

Адреса доверенных целей. Данные со страницы разрешено отправлять на указанные сайты.

Шрифты

Запрет использования. Никакие внешние шрифты не будут загружаться и не будут применяться на защищаемой странице.

Источники шрифтов

Любой сайт. Разрешается загружать и использовать шрифты, размещённые на любых сайтах. Например, с помощью CSS-правила @font-face:


												
													@font-face{ …; src: url("https://чужой-сайт.com/font.ttf"); }

Исходный сайт. Разрешается подключать и использовать файлы шрифтов, размещённые только на исходном сайте. Например, с помощью CSS-правила @font-face:


												
													@font-face{ …; src: url("/font.ttf"); }

Адреса доверенных источников. С этих сайтов также будет разрешена загрузка файлов шрифтов.

Фреймы

Запрет использования. Блокируется размещение любых фреймов на защищаемой странице.

Источники фреймов

Любой сайт. В качестве источника фрейма разрешается использовать файлы, размещённые на любых сайтах.

Исходный сайт. В качестве источника фрейма разрешается использовать файлы, размещённые только на исходном сайте.

Адреса доверенных источников. С этих сайтов также будет разрешена загрузка файлов, отображаемых во фреймах.

Манифест

Запрет использования.

Источники манифеста

Любой сайт.

Исходный сайт.

Адреса доверенных источников.

Изображения

Запрет использования. Никакие изображения не будут загружаться и не будут отображаться на защищаемой странице.

Источники изображений

Любой сайт. Разрешается загружать и использовать изображения, размещённые на любых сайтах. Например, с помощью HTML-элемента <img>:


												
													<img src="https://чужой-сайт.com/image.png">

HTML-элемента <link>:


												
													<link rel="preload" href="https://чужой-сайт.com/image.png" as="image">

или CSS *-image правил:


												
													background-image: url("https://чужой-сайт.com/image.png");

Исходный сайт. Разрешается подключать и использовать файлы скриптов, размещённые только на исходном сайте. Например, с помощью HTML-элемента <img>:


												
													<img src="/image.png">

HTML-элемента <link>:


												
													<link rel="preload" href="/image.png" as="image">

или CSS *-image правил:


												
													background-image: url("/image.png");

Адреса доверенных источников. С этих сайтов также будет разрешена загрузка файлов изображений любым способом.

Встроенные изображения. Разрешается использовать изображения, встроенные непосредственно в документ:


												<img src="data:…">

или в CSS *-image правил:


												
													background-image: url("data:…");

Скрипты

Запрет использования. Никакие скрипты не будут загружаться и не будут выполняться на защищаемой странице.

Источники скриптов

Любой сайт. Разрешается подключать и использовать файлы скриптов, размещённые на любых сайтах. Например, с помощью HTML-элемента <script>:


												
													<script src="https://чужой-сайт.com/script.js"><script>

или с помощью HTML-элемента <link>:


												
													<link rel="preload" href="https://чужой-сайт.com/script.js" as="script">

Исходный сайт. Разрешается подключать и использовать файлы скриптов, размещённые только на исходном сайте. Например, с помощью HTML-элемента <script>:


												
													<script src="/script.js"><script>

или с помощью HTML-элемента <link>:


												
													<link rel="preload" href="/script.js" as="script">

Адреса доверенных источников. С этих сайтов также будет разрешена загрузка файлов скриптов любым способом.

Встроенные скрипты. Разрешается использовать встроенные в документ скрипты:


												<script>
												 …
												</script>

и JavaScript-навигацию:


												<a href="javascript:…">

Инлайн-скрипты. Разрешается использовать обработчики событий, объявленные через атрибуты HTML-элементов:


												<tag onevent="…">

Динамические выражения. Разрешается использовать вычисления выражений с помощью небезопасной функции eval( ):


												eval("…");

Стили

Запрет использования. Никакие стили не будут загружаться и не будут применяться к защищаемому документу.

Источники стилей

Любой сайт. Разрешается подключать и использовать файлы таблиц стилей, размещённые на любых сайтах. Например, с помощью HTML-элемента <link>:


												
													<link rel="stylesheet" href="https://чужой-сайт.com/style.css">
												
												
													<link rel="preload" href="https://чужой-сайт.com/style.css" as="style">

или через CSS-правило @import:


												
													@import url("https://чужой-сайт.com/style.css");

Исходный сайт. Разрешается подключать и использовать стилевые файлы, размещённые только на исходном сайте. Например, с помощью HTML-элемента <link>:


												
													<link rel="stylesheet" href="/style.css">
												
												
													<link rel="preload" href="/style.css" as="style">

или через CSS-правило @import:


												
													@import url("/style.css");

Адреса доверенных источников. С этих сайтов также будет разрешена загрузка стилевых файлов любым способом.

Встроенные стили. Разрешается использовать встроенные в документ таблицы стилей:


												<style>
												 …
												</style>

В том числе и динамически создавать их на базе JavaScript-метода createElement:


												document.createElement("style");

Инлайн-стили. Разрешается использовать стили, объявленные в HTML-элементах через атрибут style:


												<tag style="…">

или установленные с помощью JavaScript-метода управления атрибутами setAttribute:


												element.setAttribute("style", "…");

Отчёты о нарушении

Режим отладки. В этом режиме нарушения безопасности обнаруживаются, но нарушители не блокируются. Рекомендуется использовать в самом начале настройки политики безопасности для оценки объёма проблемных транзакций.

Отправка отчёта. Браузер пользователя формирует JSON-сообщение с описанием нарушения и передаёт его указанному скрипту.

Настройки отправки сообщений

Регистрирующий скрипт. Этот скрипт будет вызываться каждый раз, когда будет возникать нарушение. Скрипт будет получать данные о нарушении, которые можно сохранять в лог-файле и/или отправлять уведомление, например, на электронную почту.

Кнопки в разработке

PHP

Для скриптов, написанных на языке PHP, необходимо добавить строку с кодом в начало скрипта, до точки вывода основного контента.


									
										header("Report-To: ");


									
										header(": ");

Nginx

Для веб-сервера Nginx необходимо добавить строку с командой в файл конфигурации *.conf соответствующей секции server или location.


									
										add_header Report-To "";


									
										add_header  "";

Apache

Для веб-сервера Apache необходимо добавить строку с командой в файл основной конфигурации httpd.conf или соответствующий файл .htaccess.


									
										Header set Report-To ""


									
										Header set  ""

HTML-тег meta

В некоторых случаях правила безопасности контента удобнее размещать непосредственно в документе, в блоке мета-данных. Но этот способ имеет ограничения функциональности - в нём не предусмотрен режим отладки и не поддерживается отправка отчётов о нарушениях политики безопасности.


									
										<meta http-equiv="Content-Security-Policy" content="">