מה זה CSP?
Content Security Policy או CSP היא מנגנון אבטחת מידע מבוסס־דפדפן, המיועד למנוע ולצמצם
התקפות מבוססות Cross-Site Scripting (XSS), הזרקות קוד (Code Injection) ומניפולציות אחרות על תוכן האתר.
CSP פועל באמצעות כותרות HTTP או תגיות <meta> שמכתיבות לדפדפן אילו מקורות תוכן מותרים לטעינה והרצה,
ובכך מגבילות את פני השטח להתקפות.
הצורך ביישום CSP ונתונים עדכניים
בעשור האחרון, התקפות XSS הן אחת מהפגיעויות הנפוצות ביותר בדפי אינטרנט.
על פי דו”ח OWASP Top 10 (2021), XSS נותרה בין שלוש נקודות התורפה המובילות.
מחקר של Google Chrome Security מצא שיישום CSP נכון יכול למנוע עד 95% מהזרקות סקריפטים
שאינן מורשות, ובכך להקטין משמעותית את הסיכון לגניבת נתונים, השתלטות על סשנים, ושינוי תוכן.
עקרונות ליבה ומבנה מדיניות של CSP
CSP עובד באמצעות הגדרות מפורטות של מקורות התוכן המותרים:
default-src – הגדרה כללית למקורות ברירת המחדל.
script-src – קביעת מקורות JavaScript מותרים (עם אפשרות שימוש ב־nonce או hash).
style-src – הגבלת מקורות CSS.
img-src – מקורות תמונות.
connect-src – מקורות חיבור (API, WebSocket, Ajax).
frame-ancestors – שליטה באתרים שיכולים לארח את האתר ב־iframe.
report-uri / report-to – כתובות לקבלת דוחות הפרות CSP.
פתרונות CSP קיימים בשוק
בעוד שניתן להגדיר CSP ידנית, יש כיום מערכות וכלים המסייעים ביישום וניטור:
Google CSP Evaluator – כלי לבדיקת מדיניות קיימת.
Report URI – שירות לניטור ודיווח על הפרות CSP.
HelmetJS (ל־Node.js) – מודול ליישום קל של כותרות אבטחה.
Cloudflare – מאפשר הוספת CSP חכמה בשכבת ה־CDN.
שירותי CSP של קורל טכנולוגיות
בקורל טכנולוגיות אנו מציעים:
ניתוח סיכונים ואיומים קיימים באתר.
בניית מדיניות CSP מותאמת אישית (כולל שילוב עם מנגנוני אבטחה נוספים כמו
SRI – Subresource Integrity).
אינטגרציה עם מערכות דיווח וניטור בזמן אמת.
בדיקות חדירה ממוקדות לווידוא אפקטיביות המדיניות.
הדרכת צוותי פיתוח על כתיבת קוד תואם CSP.
שאלות ותשובות בנושא CSP
האם CSP מגן מפני התקפות CSRF?
לא ישירות. CSP לא מונע שליחת בקשות מזויפות, אך יכול להגביל טעינת סקריפטים שיכולים לנצל CSRF.
מה ההבדל בין שימוש ב־meta לבין כותרת HTTP עבור CSP?
כותרת HTTP עדיפה כי נטענת לפני כל תוכן, בעוד ש־meta נקרא רק לאחר שהדפדפן מתחיל לעבד HTML.
האם ניתן ליישם CSP על אפליקציות SPA?
כן, אך יש לשים דגש על script-src עם nonce כדי לאפשר רינדור דינמי בלי לפגוע באבטחה.
