Content Security Policy sau cu ce să nu-ți pierzi vremea

Într-una din zilele trecute am aflat de Security Headers. Cum mi-am făcut un hobby din optimizarea paginilor web, am devenit instant curios de ceea ce s-ar putea îmbunătăți. Așa am ajuns la Content Security Policy (CSP).

Prin intermediul CSP se stabilesc ce resurse de pe site au voie browserele să afișeze. De exemplu, poți seta să fie afișate doar imaginile pe care le-ai încărcat (uploadat) la tine pe site. Celelalte rămân neîncărcate. Sau poți seta ca imaginile de pe anumite site-uri să poată fi afișate, iar restul nu.

Iar treaba aceasta poate fi făcută pentru toate resursele de pe site-ul tău. Imagini, scripts, stiluri, formulare, etc.

Deși e o măsură de securitate bună, e destul de dificil de configurat. Trebuie să știi exact ce fonturi, imagini și alte resurse ai pe blog, dar mai ales de unde se încarcă fiecare. Fonturile de pe Google Fonts, statisticile de pe Google Analytics și, eventual, WordPress. Clipurile de pe YouTube și așa mai departe. Iar toate acestea trebuie declarate în Politica de Securitate a Conținutului. Multă bătaie de cap pentru un moft.

Să zicem că te încăpățânezi și ajungi să ai A+. Atunci descoperi Observatory de la Mozilla (Google It!) și îți dai seama că mai ai de lucru până e totul perfect.

Nu mai bine așa cum e?

2 comentarii

Dă-ți cu părerea

Adresa ta de email nu va fi publicată.