CSP: различия между версиями
Buymedia (обсуждение | вклад) |
Buymedia (обсуждение | вклад) |
||
Строка 1: | Строка 1: | ||
− | '''Политика защиты контента (CSP)''' — это дополнительный уровень безопасности, который помогает обнаружить и смягчить некоторые виды атак, в том числе межсайтовый скриптинг (XSS) и инъекцию данных. | + | [[CSP|'''Политика защиты контента (CSP)''']] — это дополнительный уровень безопасности, который помогает обнаружить и смягчить некоторые виды атак, в том числе межсайтовый скриптинг (XSS) и инъекцию данных. |
− | Если ваш сайт использует CSP, то во время добавления сайта в сеть, вам надо будет сделать следующие настройки: | + | Если ваш сайт использует CSP, то во время [[Добавление сайта в систему|добавления сайта в сеть]], вам надо будет сделать следующие настройки: |
1. Создайте пустой файл с именем "domain.txt" в любой директории вашего сайта и установите на него права 666 (права на перезапись файла) | 1. Создайте пустой файл с именем "domain.txt" в любой директории вашего сайта и установите на него права 666 (права на перезапись файла) |
Версия 18:38, 15 января 2020
Политика защиты контента (CSP) — это дополнительный уровень безопасности, который помогает обнаружить и смягчить некоторые виды атак, в том числе межсайтовый скриптинг (XSS) и инъекцию данных.
Если ваш сайт использует CSP, то во время добавления сайта в сеть, вам надо будет сделать следующие настройки:
1. Создайте пустой файл с именем "domain.txt" в любой директории вашего сайта и установите на него права 666 (права на перезапись файла)
2. Введите полный путь до этого файла на сервере (например, /home/www/test.ru/domain.txt или ../domain.txt)
3. Создайте директорию "u7s8j" и установите туда файл script.php Внимание! При изменение п.2 файл script.php переформируется, поэтому его необходимо скачать и заменить.
4. С этого момента в файле domain.txt будут автоматически прописываться актуальные домены для работы.
Если вы раньше не работали с CSP, используйте следующий код для её подключения: header("Content-Security-Policy: default-src 'self' 'unsafe-inline' " .file_get_contents('путь к файлу/domain.txt'));
Если защита на вашем сайте уже была установлена, нужно добавить функцию file_get_contents(‘путь к файлу/domain.txt) в директивы script-src и frame-src как в примере ниже:
script-src 'self' 'unsafe-eval' 'unsafe-inline' " . file_get_contents('путь к файлу/domain.txt') . "; frame-src 'self' " . file_get_contents('путь к файлу/domain.txt')