HTTP / CSP CSP: block-all-mixed-content

آشنایی با CSP و block-all-mixed-content

سلام دوستان! امروز می‌خواهیم درباره‌ی Content Security Policy یا به اختصار CSP صحبت کنیم. این تکنولوژی به شما کمک می‌کند تا امنیت وب‌سایت خود را افزایش دهید و از انواع حملات جلوگیری کنید. یکی از ویژگی‌های CSP، بلاک کردن محتوای مختلط (Mixed Content) هست که می‌تواند خطرات زیادی برای وب‌سایت و کاربرها به همراه داشته باشد.

حالا می‌رسیم به مفهوم block-all-mixed-content. وقتی شما این تنظیم را برای CSP خود فعال کنید، تمامی محتواهای HTTP که درون یک HTTPS بارگذاری می‌شوند، مسدود خواهند شد. این یعنی اگر وب‌سایت شما روی پروتکل HTTPS باشد و تلاش کند که محتوای HTTP را بارگذاری کند، این محتوا به هیچ وجه نمایش داده نخواهد شد.

هدف این کار حفظ امنیت داده‌ها و اطلاعات کاربرها هست. پس با استفاده از block-all-mixed-content، اطمینان حاصل می‌کنید که کاربران فقط محتوای امن و رمزگذاری شده را مشاهده می‌کنند. این به شدت باعث افزایش اعتبار و امنیت وب‌سایت شما می‌شود.

حتماً می‌پرسید که برای فعال کردن این ویژگی چه کارهایی باید انجام بدهید. به سادگی می‌توانید آن را به هدرهای HTTP خود اضافه کنید. در ادامه نحوه‌ی اضافه کردن آن را با هم بررسی خواهیم کرد. پس بیاید با هم یک مثال عملی بزنیم و ببینیم چطور این کار انجام می‌شود.

مثال کد

Content-Security-Policy: block-all-mixed-content
    

توضیحات کد

حالا بیایید توضیح بدیم که این کد چه کار می‌کند:

• Content-Security-Policy: این بخش نشان‌دهنده‌ی هدر CSP هست.


• block-all-mixed-content : با این دستور، شما به مرورگر می‌گویید که هیچ محتوای HTTP را در صفحات HTTPS بارگذاری نکند.