Zabezpieczenie przed atakami stron trzecich
Important: this documentation is not applicable to your currently selected format email!
Podejmij działania mające na celu ochronę swojej witryny i użytkowników przed lukami bezpieczeństwa w Internecie. Jednym z najbardziej złowrogich jest atak cross-site scripting (XSS). XSS to usterka zabezpieczeń, która może pozwolić napastnikowi na wstrzyknięcie złośliwego kodu do stron HTML wyświetlanych użytkownikom.
Chroń strony przed tego typu atakami poprzez przyjęcie standardu Content Security Policy (CSP). Serwery buforujące AMP, takie jak Google AMP Cache, już dodają CSP do Twoich stron! Jeśli nie dodasz własnego CSP, stronom zabraknie jednak tej dodatkowej warstwy ochrony, gdy użytkownicy ominą wersję buforowaną.
Implementacja CSP AMP
Aby zaimplementować CSP, dodaj odpowiedni znacznik meta do nagłówka strony. Poniżej znajduje się kod CSP AMP, który umożliwia wstrzyknięcie do strony jedynie skryptów AMP:
<meta
http-equiv="Content-Security-Policy"
content="default-src * data: blob:; script-src blob: https://cdn.ampproject.org/v0.js https://cdn.ampproject.org/v0/ https://cdn.ampproject.org/viewer/ https://cdn.ampproject.org/rtv/; object-src 'none'; style-src 'unsafe-inline' https://cdn.ampproject.org/rtv/ https://cdn.materialdesignicons.com https://cloud.typography.com https://fast.fonts.net https://fonts.googleapis.com https://maxcdn.bootstrapcdn.com https://p.typekit.net https://use.fontawesome.com https://use.typekit.net; report-uri https://csp-collector.appspot.com/csp/amp"
/>
Pełny przykład można zobaczyć tutaj.
-
Written by @CrystalOnScript