سياسة أمان المحتوى (CSP) هي طبقة أمان إضافية لموقعك الإلكتروني، مصممة لاكتشاف ومنع أنواع الهجمات الشائعة مثل هجمات البرمجة النصية عبر المواقع (XSS) وهجمات حقن البيانات. تعمل CSP بشكل أساسي كقائمة بيضاء، تحدد مصادر النصوص والأنماط والصور والإطارات المسموح بتحميلها على موقعك. هذا يضمن أنه لا يمكن تحميل سوى الموارد المحددة بوضوح، وسيتم حظر أي طلبات خارج القائمة البيضاء على الفور. ستعمل المتصفحات التي لا تدعم CSP بشكل طبيعي مع الخادم الذي ينفذ CSP، والعكس صحيح. في حالة عدم دعم المتصفح، سيتم تجاهل CSP وسيطبق الموقع السياسة الافتراضية.
تعمل CSP عن طريق إضافة رأس HTTP Content-Security-Policy إلى استجابة الخادم. يحتوي هذا الرأس على مجموعة من التوجيهات التي تحدد نوع المحتوى المسموح بتحميله ومن أي مصدر. على سبيل المثال، تحدد توجيه script-src مصدر ملفات JavaScript المسموح بتحميلها.
هناك العديد من التوجيهات المختلفة في CSP، كل توجيه يتحكم في نوع معين من الموارد. تتضمن بعض التوجيهات الشائعة ما يلي:
default-src: ينطبق على جميع أنواع الموارد إذا لم يتم تحديد أي توجيه محدد.script-src: يتحكم في تحميل ملفات JavaScript.style-src: يتحكم في تحميل ملفات CSS.img-src: يتحكم في تحميل الصور.font-src: يتحكم في تحميل خطوط النص.frame-src: يتحكم في تحميل الإطارات (iframes).object-src: يتحكم في تحميل الكائنات المضمنة مثل Flash.media-src: يتحكم في تحميل ملفات الوسائط مثل الصوت والفيديو.
يمكن أن يأخذ كل توجيه قيمة واحدة أو أكثر، بما في ذلك:
'self': يسمح بتحميل الموارد من نفس مصدر موقع الويب.'none': لا يسمح بتحميل أي موارد.'unsafe-inline': يسمح باستخدام التعليمات البرمجية المضمنة مثل<script>أو أنماط مضمنة. ومع ذلك، لا ينصح باستخدام هذه القيمة لأنها تقلل من فعالية أمان CSP.- عنوان URL محدد: يسمح بتحميل الموارد من عنوان URL المحدد.
- اسم نطاق: يسمح بتحميل الموارد من جميع النطاقات الفرعية للنطاق المحدد. على سبيل المثال، يسمح
example.comبتحميل الموارد منwww.example.comوsub.example.com، وما إلى ذلك. *: حرف بديل، يسمح بتحميل الموارد من أي مصدر. لا ينصح باستخدام هذه القيمة لأنها تعطل معظم ميزات أمان CSP.data:: يسمح بتحميل الموارد من data URI.https:: يسمح بتحميل الموارد من أي مصدر يستخدم HTTPS.
مثال على CSP بسيط:
Content-Security-Policy: default-src 'self'; img-src 'self' data:; script-src 'self' https://example.com;تسمح سياسة CSP هذه بما يلي:
- تحميل جميع أنواع الموارد (باستثناء الصور والنصوص) من نفس مصدر موقع الويب.
- تحميل الصور من نفس المصدر أو من data URI.
- تحميل النصوص من نفس المصدر أو من
https://example.com.
لمتابعة انتهاكات CSP، يمكنك استخدام توجيه report-uri أو report-to. يسمح هذا التوجيه للمتصفح بإرسال تقارير حول انتهاكات CSP إلى عنوان URL محدد. توفر الخدمات مثل report-uri.com واجهة لجمع وتحليل هذه التقارير، مما يساعدك على فهم ثغرات الأمان في موقعك بشكل أفضل.
يمكن أن يساعد تنفيذ CSP بشكل صحيح في تقليل مخاطر هجمات XSS وحقن البيانات بشكل كبير، وحماية موقعك ومستخدميك من تهديدات أمن الإنترنت.