Вернуться к списку вопросов

Как настроить CSP

Тип вопроса: Безопасность Вероятность: 10% Категория: Frontend Developer

Ответ

Content Security Policy (CSP) настраивается через HTTP-заголовок Content-Security-Policy или метатег <meta>. Основные шаги:

  1. Определите источники для скриптов, стилей, изображений и других ресурсов:
<meta http-equiv="Content-Security-Policy" 
      content="default-src 'self'; 
               script-src 'self' https://trusted.cdn.com;
               style-src 'self' 'unsafe-inline';
               img-src *">
  1. Ключевые директивы:
  • default-src - политика по умолчанию
  • script-src - источники скриптов
  • style-src - источники стилей
  • img-src - источники изображений
  • connect-src - ограничения для XHR/fetch
  1. Специальные значения:
  • 'self' - текущий домен
  • 'none' - запрет
  • 'unsafe-inline' - разрешает inline-скрипты/стили (не рекомендуется)
  • 'unsafe-eval' - разрешает eval (опасно)

Совет: Начинайте с строгой политики и постепенно расширяйте, используя отчеты о нарушениях (директива report-uri).

© ХакСобесов, 2025
support@hacksobesov.com