Ce este Content Security Policy (CSP) si de ce sa activez functia in magazinul meu online?
Acesta este sectiunea de help pentru versiunea Legacy a panoului de control. Daca utilizati panoul de control Flex, puteti gasi aici sectiunea de help relevanta.
Content Security Policy (CSP) este un standard de securitate informatica care are ca scop prevenirea unor atacuri precum cross-site scripting (XSS), clickjacking sau injectii de cod rezultate din executarea de continut malitios in contextul paginilor web de incredere.
CSP are aplicabilitate in cazul majoritatii browser-elor si le ofera proprietarilor de website-uri un mijloc standardizat de a declara originile aprobate ale continutului si de a permite incarcarea acestuia de catre browsere in respectivul site (tipurile de continut acoperite sunt JavScript, CSS, cadre HTML, scripturile web worker, font-urile, imaginile si obiecte inserabile precum Java applets, Active X, fisierele audio si video si alte elemente HTML5).
Afla in continuare mai multe informatii despre activarea Content Security Policy in magazinul tau MerchantPro, despre scenariile in care este utila adaugarea de domenii suplimentare in lista CSP si care sunt formatele pe care este necesar sa le utilizezi.
- Activarea CSP in magazinele MerchantPro
- Posibile scenarii pentru adaugarea de domenii suplimentare in lista CSP
- Formatele de adaugare a domeniilor in lista CSP
Activarea CSP in magazinele MerchantPro
Pentru a activa functia Content Security Policy (CSP) pentru paginile magazinului tau MerchantPro, urmeaza pasii descrisi in continuare:
- Acceseaza Setari > Setari sistem din panoul de control al magazinului tau;
- Mergi in sectiunea Setari securitate la setarea Activeaza Content Security Policy; activeaza butonul de tip glisor pentru a putea sa adaugi un nivel suplimentar de securitate unei serii de domenii conexe site-ului tau, cu scopul de a permite incarcarea in browsere a resurselor din domeniile respective;
- Mergi la Domenii Content Security Policy si introdu domeniile pe care doresti sa le aprobi pentru incarcarea in browsere;
- Apasa butonul Salveaza dupa verificarea tuturor setarilor.
NOTE
Content Security Policy este setat in mod default pentru o serie de domenii terte corespunzatoare anumitor aplicatii disponibile in platforma MerchantPro, cum ar fi: https://fonts.googleapis.com
, https://fonts.gstatic.com
, https://*.facebook.net
, https://*.facebook.com
, https://*.fbcdn.net
, www.google-analytics.com
, www.googletagmanager.com
, *.googleadservices.com
, *.googlesyndication.com
, *.doubleclick.net
, static.klaviyo.com
, https://*.klaviyo.com
, retargeting.newsmanapp.com
, analytics.tiktok.com
.
TIP
Dupa activarea setarii, in paginile magazinului va fi adaugat elementul meta <meta http-equiv="Content-Security-Policy"
, care indica activarea Content Security Policy in site.
Posibile scenarii pentru adaugarea de domenii suplimentare in lista CSP
Poti adauga domenii suplimentare in cazul in care doresti de exemplu sa implementezi un script tert care face solicitari catre un alt serviciu, care nu se regaseste in lista domeniilor pentru care este deja setat Content Security Policy in MerchantPro.
Concret, poti adauga domenii suplimentare in situatii precum:
- Instalarea in site a unui script de tracking/remarketing de la o aplicatie care nu exista in platforma si care nu se afla pe lista domeniilor din MerchantPro pentru care este deja setat CSP;
- Inserarea in site a unor link-uri catre o sursa externa (Ex: link-uri adaugate in blog);
Formatele de adaugare a domeniilor in lista CSP
Descopera in continuare cateva exemple cu formatele pe care trebuie sa le respecti pentru a adauga domenii in lista Content Security Policy (CSP):
http://*.exemplu.com
- se aplica tuturor incercarilor de incarcare a resurselor din orice subdomeniu exemplu.com care utilizeaza schema URLhttp:
;https://magazin.exemplu.com
- se aplica tuturor incercarilor de accesare a domeniului magazin.exemplu.com folosindhttps:
;exemplu.com
- se aplica tuturor incercarilor de incarcare a continutului de pe orice domeniu al exemplu.com, utilizand protocolul curent.
Pentru mai multe exemple, poti accesa pagina cu documentatia pusa la dispozitie de Mozilla.