بعد ازینکه لینک را در برنامه ارزشمند اسکرمینگ فراگ برای بررسی قرار میدهیم یکی از ارور ها به شکل زیر است:
Description URLs that are missing the Content-Security-Policy response header. This header allows a website to control which resources are loaded for a page. This policy can help guard against cross-site scripting (XSS) attacks that exploit the browser's trust of the content received from the server. The SEO Spider only checks for existence of the header, and does not interrogate the policies found within the header to determine whether they are well set-up for the website. This should be performed manually. How To Fix Set a strict Content-Security-Policy response header across all page to help mitigate cross site scripting (XSS) and data injection attacks.
این ارور چیست و به چه دلیل ظاهر شده، بسیاری از طراحان سایت و دوستاران سئو در پی حل این مشکل هستند
آدرسهایی که هدر پاسخ Content-Security-Policy (CSP) در آنها وجود ندارد. این هدر به یک وبسایت اجازه میدهد کنترل کند که کدام منابع برای یک صفحه بارگذاری شوند. این سیاست میتواند به جلوگیری از حملات XSS (Cross-Site Scripting) کمک کند که از اعتماد مرورگر به محتوای دریافتی از سرور سوءاستفاده میکنند. ابزار بررسی فقط وجود این هدر را بررسی میکند و سیاستهای تعریفشده در آن را تحلیل نمیکند که آیا به درستی برای وبسایت تنظیم شدهاند یا خیر. این بررسی باید به صورت دستی انجام شود.
چگونه مشکل را رفع کنیم؟
هدر پاسخ Content-Security-Policy را به طور سختگیرانه در تمام صفحات تنظیم کنید تا به کاهش خطرات حملات XSS و تزریق داده کمک کند.
بررسی لینک
برای تحلیل دقیق، باید بررسی کنیم که آیا لینک مورد نظر شامل این هدر در پاسخ سرور هست یا نه.
برای بررسی اینکه آیا صفحهٔ مورد نظر شامل هدر Content-Security-Policy (CSP) است یا خیر، میتوانیم از ابزارهای توسعهدهندهٔ مرورگرها استفاده کنیم. در مرورگرهای مدرن مانند گوگل کروم یا فایرفاکس، مراحل زیر را دنبال کنید:
- صفحهٔ مورد نظر را باز کنید.
- کلیدهای
F12 یا Ctrl + Shift + I را فشار دهید تا ابزارهای توسعهدهنده باز شوند.
- به تب Network بروید و صفحه را مجدداً بارگذاری کنید (
F5).
- در لیست درخواستها، روی درخواست مربوط به صفحهٔ اصلی کلیک کنید.
- در بخش Headers، به دنبال هدر Content-Security-Policy بگردید.
اگر این هدر وجود نداشته باشد، به این معنی است که سرور این هدر را ارسال نمیکند و باید تنظیم شود.
نحوهٔ تنظیم هدر Content-Security-Policy
برای افزودن هدر Content-Security-Policy به پاسخهای سرور، میتوانید بسته به نوع وبسرور خود، از روشهای زیر استفاده کنید:
در وبسرور Apache:
فایل .htaccess را در ریشهٔ وبسایت خود ویرایش کرده و خط زیر را اضافه کنید:
Header set Content-Security-Policy "default-src 'self';"
این تنظیمات به مرورگر اعلام میکند که فقط منابعی که از همان دامنه بارگذاری میشوند مجاز هستند.
در وبسرور Nginx:
در فایل پیکربندی سرور، داخل بلاک server، خط زیر را اضافه کنید:
add_header Content-Security-Policy "default-src 'self';";
پس از اعمال تغییرات، سرور را مجدداً راهاندازی کنید تا تنظیمات جدید اعمال شوند.
توجه: تنظیمات دقیق CSP بستگی به منابعی دارد که وبسایت شما از آنها استفاده میکند. برای مثال، اگر وبسایت شما از منابعی مانند Google Analytics یا CDNهای خارجی استفاده میکند، باید آنها را در سیاستهای CSP مشخص کنید. برای اطلاعات بیشتر، میتوانید به منابع زیر مراجعه کنید:
هدر CSP یا Content Security Policy Header چیه؟ و چه کاربردهایی داره؟
چگونه امنیت HTTP security header را بالا ببریم؟
what is content security policy
با تنظیم صحیح هدر Content-Security-Policy، میتوانید امنیت وبسایت خود را در برابر حملات XSS و سایر تهدیدات افزایش دهید.