Content Security Policy và cách triển khai trên trang WordPress

CSP ( Content-Security-Policy ) hay nói rõ hơn là Content Security Policy header hiện đang dần trở nên thông dụng hơn khi nào hết. Tuy nhiên, hiện tại mình chỉ thấy Thế giới di động là một trong những website lớn tại Nước Ta tiến hành CSP trên website của mình, còn lại thì rất ít. Vậy CSP là gì và tại sao tất cả chúng ta nên dùng nó ?

  • Cập nhật 31/01: mình thêm vào cách theo dõi các vi phạm CSP trên trang WordPress và các vấn đề với thuộc tính unsafe-inline

Việc tiến hành CSP thường tốn tương đối thời hạn bởi rất ít công cụ tương hỗ tự động hóa. Vì vậy, bạn hãy đọc sơ qua một lần trước khi bắt tay vào làm nhé .

CSP là gì?

CSP là một biện pháp bảo mật từ phía trình duyệt, giúp ngăn chặn những request xấu được gọi từ website của chúng ta. CSP là tập hợp một danh sách an toàn (whitelist) những domain hay kiểu script, style, image, frame mà trình duyệt được load trên website của chúng ta. Điều này đảm bảo chỉ có những script, style, image, frame được chúng ta chỉ định có thể được tải, những request không nằm trong whitelist sẽ bị chặn ngay tức khắc.

CSP header được trả về trình duyệt từ webserver hoặc mã nguồn, tùy cách chúng ta cài đặt.

Tuấn đã có một bài viết riêng giới thiệu cách làm thế nào để ngăn chặn malware thực thi, làm chuyển hướng website WordPress không mong muốn. Tất cả chỉ cần một dòng CSP duy nhất. Mời các bạn xem qua:
> Hạn chế malware chuyển hướng website WordPress với CSP

Dễ thấy nhất, nếu một hacker xâm nhập được vào hệ thống của bạn mà chèn một thẻ

Rate this post
Subscribe
Notify of
guest
0 Comments
Inline Feedbacks
View all comments