Version: 5.7

Content-Security-Policy (CSP)

Content-Security-Policy (CSP) je bezpečnostní HTTP hlavička, která určuje, odkud smí web načítat skripty, styly, obrázky, fonty a další obsah.

Co je CSP

CSP je sada pravidel, která určuje seznam zdrojů (domén), kterým prohlížeč důvěřuje.

Pokud se stránka pokusí načíst obsah ze zdroje, který v CSP není povolený, prohlížeč ho zablokuje.

Snižuje riziko útoku typu XSS (Cross-Site Scripting).
Omezuje škody v případě, že se do stránky dostane nechtěný skript.
Chrání uživatele i administraci před načtením škodlivého obsahu z neznámých domén.
Pomáhá bezpečně používat analytické a marketingové nástroje pouze z explicitně povolených zdrojů.

V administraci webu v sekci bezpečnostních hlaviček (Security Policies), v poli pro Content-Security-Policy.

Umístění v menu: Configuration -> SEO -> Default/Domain Configuration.

CSP se nastavuje pomocí direktiv, tedy jednotlivých pravidel. Každá direktiva určuje, jaký typ obsahu se může načítat a z jakých zdrojů (domén).

Příklad významu nejčastějších direktiv:

default-src: výchozí pravidlo pro obsah, který nemá vlastní direktivu.
script-src: odkud se smí načítat JavaScript.
style-src: odkud se smí načítat CSS.
img-src: odkud se smí načítat obrázky.
connect-src: kam se smí stránka připojovat (např. API volání, požadavky fetch, WebSocket).
frame-src: které externí stránky je možné vložit do iframe.

Pokud editor přidá na web skript třetí strany (např. analytika, chat, video widget, mapy), doména dané služby musí být v CSP povolená.

Nejčastěji jde o direktivu script-src, ale podle typu integrace může být potřeba doplnit i connect-src, img-src nebo frame-src.

Bez tohoto kroku bude integrace v prohlížeči blokovaná, i když je kód na stránce správně vložený.

Přidejte nebo upravte externí službu na stránce.
Otevřete prohlížečové konzole (DevTools) a zkontrolujte, zda nehlásí CSP blokaci.
Z chybové hlášky zjistěte blokovanou doménu a direktivu.
Doplňte doménu do odpovídající části CSP.
Otestujte stránku znovu.