SEOMaster
Content Security Policy (CSP)
Reguły, skąd strona może ładować zasoby.
Co to jest Content Security Policy?
Content Security Policy to nagłówek HTTP, który mówi przeglądarce, z jakich źródeł wolno ładować skrypty, style, obrazy czy czcionki. Wszystko spoza tej listy zostaje zablokowane.
Dzięki temu nawet jeśli ktoś zdoła wstrzyknąć na stronę obcy kod (atak XSS), przeglądarka go nie uruchomi, bo źródło nie jest zaufane. CSP buduje się stopniowo — od trybu raportowania po pełne egzekwowanie.
Dlaczego to ważne dla SEO
XSS to jedna z najczęstszych podatności webu. Dobra CSP mocno ogranicza skutki takiego ataku i jest sygnałem dojrzałości technicznej witryny.
Jak to sprawdzić
Sprawdź, czy odpowiedź serwera zawiera nagłówek Content-Security-Policy (narzędzia deweloperskie → Network → nagłówki). Zacznij od Content-Security-Policy-Report-Only, żeby niczego nie zepsuć, i obserwuj raporty.
Częste błędy
- Użycie 'unsafe-inline' dla skryptów (otwiera furtkę na XSS)
- Zbyt szeroka reguła default-src *
- Wdrożenie od razu w trybie egzekwowania bez testów → blokada własnych skryptów
Przykład
Content-Security-Policy: default-src 'self'; script-src 'self' https://cdn.zaufany.pl; object-src 'none'