Content Security Policy

Content Security Policy (CSP) — инструмент защиты веб-сайтов от атак посредством выполнения зловредных скриптов. CSP позволяет владельцам веб-ресурсов определять политику загрузки и выполнения ресурсов, указывая браузеру, какие источники содержимого считаются кошерными.

Описание[править]

Content Security Policy работает с использованием арийских списков. Веб-сервер передает браузеру набор правил, определяющих допустимые источники различных типов ресурсов. Браузер, получив эти инструкции, блокирует любые ресурсы или действия, не соответствующие установленной политике, и может записывать, что состоялось посылание клиента на в ответ на нехороший запрос.

Сервер отправляет политику браузеру через HTTP-заголовок Content-Security-Policy или через метатег HTML. При загрузке страницы и ее ресурсов браузер проверяет каждый элемент на соответствие политике CSP. Ресурсы или действия, не соответствующие политике, блокируются.

Интересно, что в протокол можно восрать директивы report-uri или report-to, которые вынудят отправить сообщение об ошибке на конкретный ресурс, чтобы так сказать в стиле дятла стукануть на нарушителя.

Директивы[править]

• default-src — базовая директива, определяющая политику по умолчанию.
• script-src — описывает источники жабьего кода. Важный параметр, так как левый код способен взломать сайт.
• style-src — определяет допустимые источники CSS-стилей.
• img-src — регулирует источники изображений, в том числе элементы <img>, CSS-свойства background-image, favicon.
• font-src — описывает источники веб-шрифтов, загружаемых через @font-face.
• connect-src — определяет URL-адреса, к которым можно подключаться через XMLHttpRequest, WebSocket, Fetch API, EventSource.
• media-src — описывает источники медиа-файлов, загружаемых через элементы <audio> и <video>.
• object-src — контролирует источники плагинов, загружаемых через элементы <object>, <embed> и <applet>.
• frame-src — определяет допустимые источники для встраиваемых фреймов (<iframe>).
• frame-ancestors — указывает, какие источники могут встраивать данную страницу в фрейм.
• form-action — определяет URL-адреса, на которые могут отправляться формы.
• base-uri — контролирует URL-адреса, которые могут использоваться в элементе <base>.

В качестве аргументов может указываться self (тот же самый домен), конкретные домены, а также дикие карты, например можно указать *.popka.com, и тогда произвольные поддомены можно будет таким образом включать в себя.

Великая сеть, которая переменила течения мира
Это интернет, детка	Интернеты • Даркнет • Уведомления в браузере • Веб-скрейпинг • WWW • Просмотр стрима в фоне • Web Archive • Инфоповод • Открытый прокси • Сайт • Браузерка • Бугагашечки • Дейтинг • Заработок • Идентификация пользователей • Имиджборда • Имиджхостинг • Интернет-магазин • Интернет-сервисы • Покровитель интернетов • Каталог сайтов • Ассоциация блогеров и агентств • Олдфаг • Чебурнет • Анкета • Аватар • Изоляция российских сайтов • Видеохостинг • Тильт • Google дурак • Инфобизнесмен • Stalinism.ru • Реестр запрещённых сайтов • Файлообменник • Фотобанк • Хакеры, крекеры, спамы, куки • Закат эпохи анонимуса • Троллинг • Веб 3.0 • Интернет-энциклопедия • Стриминговый сервис • Блокировщики рекламы • Веб-камера • Интернет-знаменитость • Google Chrome • Opera • Mozilla Firefox • Safari • Firefox • Http • HTTPS • Критерий Хомака • Рейтинг • ИИ уничтожит TikTok, Instagram и OnlyFans • Слоп • RGB • OneDrive • Всемирная атака на Интернет • Signal упал во время падения Amazon • ChatGPT Atlas • Ошибка 403 • R:Anon Чат • Дефейсинг • Timeweb • Уничтожение Интернета • Киберпандемия • Биометрия хуже пароля • Подтверждение возраста • VLESS • Подтверждение возраста как исполнение пророчеств про начертание Зверя • Геолокация в Твиттере (X) • Вконтакте • Анонимус не забывает • Разновидности VPN • Блокировка соцсетей для детей • Белый список • Voice Over Translation
Интересное	Перевод в онлайн • Облачное хранилище • 404 ошибка • Двухфакторная авторизация • Википедия • Электронная почта • Рунет • X (ранее Твиттер) • HTML5 • Moswar.ru • Ru-Center • Cerberx • Бизнес 18+ • ПИОН • Ненависть • Политика предотвращения распространения ватной чумы • Эджлорд • Видео • Панорамное видео 360 • Нейтралитет в информационной войне • Первый поток влогеров рунета • Лысый из Brazzers • Лаги • Николай Дуров • Опараш Дурова • GoodbyeDPI • Автопереводчик • Ктотут.рф • Информация • Маносфера • Бесплатный хостинг • Nginx • Searx • Политическое ФГМ • Теперь мы — это медиа • Userscript • Memoji • Мегасталин • CulturalVibes • Пессимизация ИИ • Хейтвотчинг • Речной краб • FurAffinity • Ourworldoftext • Интернет-цензура в Германии • Скроллинг • Хорошие SEOшники • ОТРЯД САСА – ОСПА • Тонилайф • Шизоидная деградация интернета • Meek-client • Поисковик • История одного разумиста • Лешие в интернете • DuckDuckGo • Клоудфаер • Путин приказал МВД цензурировать интернет • Сертификат • DNS
Термины	VPN • Прокси-сервер (SOCKS-прокси) • Управление репутацией • 404 • ADSL • DDoS • FAQ • GPON • I2P • IPv6 • localhost • MediaGet • NO CARRIER • SEO • Tor • TOS • Via • Wi-Fi • Аккаунт • Бан • Бот • Ботнет • Виртуал • Вордфильтр • Голосование ногами • Диалап • Домашняя страница • Дорвей • Инвайт • Кликбейт • Коммент • Комьюнити • Кик • Кириллические домены • Лесенка • Линк • Лог • Локалка • Мем • Ник • Офлайн • Оффтопик • Письма счастья • Поисковая бомба • Пост (Некропост) • Премодерация • Пруфлинк • Рерайтинг • Сабж • Симпафка • Синдром вахтёра • Скриншот • Смайл • Спам • Спойлер • Трафик • Тред • Троян • Флуд • Форум • Хотлинкинг • Это ваше • Юзерпик • Анонимность • Шок-сайты • Пинг • ИКС • User-Agent • Браузер • Whois • URL • Десинк • Разметка реддита • 🤡 • Перевод в онлайн • Chat Control • .md • Блокировка Старлинка • TAS-IX • Сириятелеком • Kyber • QUIC • Постквантовая криптография • Вебсокет • SSL • WebRTC • Виртуальный сервер • Вечная блокировка • GoDaddy • Амиго • Command & Control
Понятия	Цифровая некромантия • Заднеприводная каптча • Эффект Астольфо • Квантовый интернет • Информационный вирус • Онлайн • Лайк • Сторис • Хештег • Punycode • Частный сайт • Поддерживать • Интернет-проект • Форк • Самосбор (проект) • Короткие домены • Пиксельный Патриотизм • Стирание личной истории • Ботоферма • Застолбление • Засирание • Deep TikTok • История браузера • Нижний интернет • Инторанет • Фидонет • FirstVDS • Обрыв загрузки файла на 99% • Блокировка Cloudflare в РФ • Поисковый экстремизм • 1.1.1.1 • Запрет Старлинка в России • Скриншотная крыса • Запрет VPN на Ютубе • Котовая рыба • Uztelecom • CDN • Краудфандинг • Атака боторабкоров • Кубтелеком • Удаление переписки • Фишки.нет • Зухель • Вебодизайн • Гипертекст • ИИ-боты долбят сайты • Мусорные ИИ-статьи • Замечатель • Раскрутка • Internet.bs • REG.RU • Полянорусь
Мета	Веб 2, или некоторые говорят Веб 2.0 • Будущее сети