Sözlük Anlamı Nedir?

csp nedir

CSP (Content Security Policy)

CSP, web uygulamalarının güvenliğini artırmak için kullanılan bir HTTP başlığıdır. Bu başlık, web uygulamasının hangi kaynaklardan içerik yükleyebileceğini belirler. Bu sayede, kötü niyetli kişilerin web uygulamasına saldırmak için kullandıkları kaynaklar engellenebilir.

CSP, web uygulamalarının aşağıdaki türdeki saldırılara karşı korunmasına yardımcı olur:

  • XSS (Cross-Site Scripting): Bu saldırı türünde, kötü niyetli bir kişi web uygulamasına zararlı bir JavaScript kodu yükler. Bu kod, web uygulamasını ziyaret eden kullanıcıların tarayıcılarında çalışır ve kullanıcıların bilgilerini çalabilir veya web uygulamasını kontrol edebilir.
  • CSRF (Cross-Site Request Forgery): Bu saldırı türünde, kötü niyetli bir kişi web uygulamasına bir istek gönderir. Bu istek, web uygulamasını ziyaret eden bir kullanıcının kimliğiyle gönderilir. Bu sayede, kötü niyetli kişi kullanıcının bilgilerini çalabilir veya web uygulamasını kontrol edebilir.
  • Clickjacking: Bu saldırı türünde, kötü niyetli bir kişi web uygulamasında bir düğme veya bağlantı oluşturur. Bu düğme veya bağlantı, kullanıcıyı başka bir web sitesine yönlendirir. Bu web sitesi, kullanıcının bilgilerini çalabilir veya kullanıcının bilgisayarına zararlı yazılımlar yükleyebilir.

CSP, web uygulamalarının güvenliğini artırmak için kullanılabilecek etkili bir araçtır. Bu başlık, web uygulamasının hangi kaynaklardan içerik yükleyebileceğini belirleyerek kötü niyetli kişilerin web uygulamasına saldırmak için kullandıkları kaynakları engeller.

CSP’nin Çalışma Prensibi

CSP, web uygulamasının hangi kaynaklardan içerik yükleyebileceğini belirleyen bir HTTP başlığıdır. Bu başlık, web uygulamasının sunucusunda yapılandırılır. CSP başlığı, aşağıdaki direktiflerden oluşur:

  • default-src: Bu direktif, web uygulamasının hangi kaynaklardan içerik yükleyebileceğini belirler.
  • script-src: Bu direktif, web uygulamasının hangi kaynaklardan JavaScript kodu yükleyebileceğini belirler.
  • style-src: Bu direktif, web uygulamasının hangi kaynaklardan CSS kodu yükleyebileceğini belirler.
  • img-src: Bu direktif, web uygulamasının hangi kaynaklardan resim yükleyebileceğini belirler.
  • font-src: Bu direktif, web uygulamasının hangi kaynaklardan yazı tipi yükleyebileceğini belirler.
  • connect-src: Bu direktif, web uygulamasının hangi kaynaklara bağlanabileceğini belirler.
  • media-src: Bu direktif, web uygulamasının hangi kaynaklardan medya dosyası yükleyebileceğini belirler.
  • object-src: Bu direktif, web uygulamasının hangi kaynaklardan nesne yükleyebileceğini belirler.

CSP başlığında, her direktif için bir veya daha fazla kaynak belirtilebilir. Kaynaklar, aşağıdaki biçimlerde belirtilebilir:

  • Alan adı: Örneğin, “example.com”.
  • IP adresi: Örneğin, “192.168.1.1”.
  • Protokol: Örneğin, “https://”.
  • Yol: Örneğin, “/css/style.css”.

CSP başlığında, her direktif için bir veya daha fazla kaynak belirtilmediyse, web uygulaması hiçbir kaynaktan içerik yükleyemez.

CSP’nin Avantajları

CSP, web uygulamalarının güvenliğini artırmak için kullanılabilecek etkili bir araçtır. Bu başlık, aşağıdaki avantajlara sahiptir:

  • XSS, CSRF ve Clickjacking saldırılarına karşı koruma sağlar.
  • Web uygulamasının hangi kaynaklardan içerik yükleyebileceğini belirleyerek kötü niyetli kişilerin web uygulamasına saldırmak için kullandıkları kaynakları engeller.
  • Web uygulamasının güvenliğini artırmak için kolayca yapılandırılabilir.

CSP’nin Dezavantajları

CSP, web uygulamalarının güvenliğini artırmak için kullanılabilecek etkili bir araçtır, ancak bazı dezavantajları da vardır. Bu dezavantajlar şunlardır:

  • Web uygulamasının hangi kaynaklardan içerik yükleyebileceğini belirleyerek web uygulamasının işlevselliğini sınırlayabilir.
  • Web uygulamasının güvenliğini artırmak için doğru şekilde yapılandırılması gerekir. Aksi takdirde, web uygulaması saldırılara karşı korunmayabilir.

CSP’yi Kullanma

CSP’yi kullanmak için, web uygulamasının sunucusunda CSP başlığını yapılandırmanız gerekir. CSP başlığını yapılandırmak için aşağıdaki adımları izleyebilirsiniz:

  1. Web uygulamasının sunucusunda “.htaccess” dosyasını açın.
  2. “.htaccess” dosyasına aşağıdaki satırı ekleyin:

Header set Content-Security-Policy "default-src 'self'; script-src 'self' 'unsafe-inline'; style-src 'self' 'unsafe-inline'; img-src 'self' data:; font-src 'self'; connect-src 'self'; media-src 'self'; object-src 'self';"

  1. “.htaccess” dosyasını kaydedin.

Bu adımları izleyerek CSP başlığını yapılandırmış olursunuz. CSP başlığı, web uygulamasının hangi kaynaklardan içerik yükleyebileceğini belirler ve web uygulamasını XSS, CSRF ve Clickjacking saldırılarına karşı korur.

Yayımlandı

kategorisi