سلام! امروز میخوایم دربارهی Content Security Policy یا CSP صحبت کنیم، که یک لایه امنیتی بسیار مهمه که به شما کمک میکنه تا از وبسایت و کاربران شما محافظت بشه. اگر با توسعه وب سر و کار دارید، حتما باید با این موضوع آشنا باشید. یکی از بخشهای مهم CSP، خاصیت media-src هست.
خاصیت media-src به شما اجازه میده که مشخص کنید کجاها میتوان مدیا مثل ویدیو و صدا رو لود کرد. این کار، محدود کردن منابع مدیا رو آسونتر و امنتر میکنه. مثلا، میتونید مشخص کنید که فقط مدیا از دامنهی خودتون باید اجازه لود شدن داشته باشه.
فرض کنید که شما یه سایت دارید که بعضی از ویدیوها رو فقط از یوتیوب یا دامنهی خودتون لود میکنه. با استفاده از CSP میشه این کار رو به راحتی انجام داد و مطمئن بود که از منابع ناشناخته چیزی لود نخواهد شد.
به این ترتیب، وقتی کسی به صفحه شما میاد، مرورگر میدونه که فقط از کجاها اجازه داره مدیا رو بارگذاری کنه. این به شما کمک میکنه تا مطمئن بشید که سایتتون در برابر بعضی از حملات مثل XSS مقاوم هست.
مثال عملی استفاده از media-src در CSP
Content-Security-Policy: media-src http://example.com https://www.youtube.com;
جزئیات کد بالا
Content-Security-Policy: این قسمت، شروع تعریف یک CSP است که به مرورگر میگوید کدام سیاست امنیتی باید استفاده شود.
media-src: این سیاست بیان میکند که منابع مدیا از کجاها قابل بارگذاری هستند.
http://example.com: این آدرس نشان میدهد که مدیا از دامنهی example.com اجازه دارد لود شود.
https://www.youtube.com: این هم نشان میده که مدیا از یوتیوب هم میتواند لود شود.