Manglende Content-Security-Policy header
Beskrivelse
Content-Security-Policy (CSP) er en HTTP-header, der hjælper med at forebygge angreb på websider, herunder Cross-site Scripting (XSS) og datatyveri. Hvis en hjemmeside mangler en CSP-header, betyder det, at den er mere sårbar over for sådanne angreb, da den ikke angiver de kilder, hvorfra en webbrowser bør tillade indlæsning af indhold.
Sådan kan du fikse det
Indstil Content-Security-Policy respons header på alle sider
Cross-Site Scripting (XSS) og datainjektionsangreb
Det er afgørende for din webapplikations sikkerhed at indstille en streng Content-Security-Policy (CSP) respons header på alle sider. Dette kan hjælpe med at afbøde risikoen for cross-site scripting (XSS) og datainjektionsangreb.
Sådan gør du:
For at indstille CSP-headers skal du bruge HTTP-headeren 'Content-Security-Policy'. Dette fortæller browseren, hvilke eksterne ressourcer der kan indlæses på websiden.
Her er et eksempel på, hvordan CSP kan bruges til at tillade indlæsning af scripts kun fra det aktuelle domæne:
<meta http-equiv="Content-Security-Policy" content="script-src 'self'>
Ved at indstille denne politik, vil du begrænse muligheden for, at angribere kan injicere skadelige scripts på din webside.
Vær opmærksom på, at en streng CSP-adfærd kan forårsage problemer på din webside, hvis du forsøger at indlæse ressourcer fra eksterne domæner. Derfor skal du sikre dig, at du tester din CSP konfiguration grundigt, inden du anvender den på dit live site.
Se andre guides
Kontakt os for hjælp til Sikkerhed!
Du kan altid kontakte os på telefon: +45 92 90 10 21 eller email: [email protected] eller bruge vores kontaktformular via linket herunder.
Kontakt os herVi vil med glæde hjælpe dig med at løse problemer du står med. Vi arbejder både på time- og opgavebasis og kan komme ind som konsulent hvis det blot er rådgivning du ønsker.