ಸೆಪ್ಟೆಂಬರ್ 11, 2025ಕನ್ನಡ

ನಿಮ್ಮ ವೆಬ್ ಅಪ್ಲಿಕೇಶನ್‌ಗಳನ್ನು ರಕ್ಷಿಸಲು ಜಾವಾಸ್ಕ್ರಿಪ್ಟ್‌ಗಾಗಿ ಕಂಟೆಂಟ್ ಸೆಕ್ಯುರಿಟಿ ಪಾಲಿಸಿ (CSP) ಅನುಷ್ಠಾನಕ್ಕೆ ಒಂದು ಸಮಗ್ರ ಮಾರ್ಗದರ್ಶಿ. ಇದು ಅತ್ಯುತ್ತಮ ಅಭ್ಯಾಸಗಳು ಮತ್ತು ಭದ್ರತಾ ಮಾರ್ಗಸೂಚಿಗಳ ಮೇಲೆ ಕೇಂದ್ರೀಕರಿಸುತ್ತದೆ.

ವೆಬ್ ಭದ್ರತಾ ನೀತಿ ಅನುಷ್ಠಾನ: ಜಾವಾಸ್ಕ್ರಿಪ್ಟ್ ಕಂಟೆಂಟ್ ಸೆಕ್ಯುರಿಟಿ ಮಾರ್ಗಸೂಚಿಗಳು

ಇಂದಿನ ಅಂತರ್ಸಂಪರ್ಕಿತ ಡಿಜಿಟಲ್ ಜಗತ್ತಿನಲ್ಲಿ, ವೆಬ್ ಅಪ್ಲಿಕೇಶನ್ ಭದ್ರತೆಯು ಅತ್ಯಂತ ಮಹತ್ವದ್ದಾಗಿದೆ. ಕ್ರಾಸ್-ಸೈಟ್ ಸ್ಕ್ರಿಪ್ಟಿಂಗ್ (XSS) ದಾಳಿಗಳು ಮತ್ತು ಇತರ ಕೋಡ್ ಇಂಜೆಕ್ಷನ್ ದುರ್ಬಲತೆಗಳನ್ನು ತಗ್ಗಿಸಲು ಅತ್ಯಂತ ಪರಿಣಾಮಕಾರಿ ವಿಧಾನವೆಂದರೆ ಕಂಟೆಂಟ್ ಸೆಕ್ಯುರಿಟಿ ಪಾಲಿಸಿ (CSP) ಅನ್ನು ಅನುಷ್ಠಾನಗೊಳಿಸುವುದು. ಈ ಸಮಗ್ರ ಮಾರ್ಗದರ್ಶಿಯು CSPಯ ಜಟಿಲತೆಗಳನ್ನು, ವಿಶೇಷವಾಗಿ ಜಾವಾಸ್ಕ್ರಿಪ್ಟ್ ಕಂಟೆಂಟ್ ಭದ್ರತಾ ಮಾರ್ಗಸೂಚಿಗಳ ಮೇಲೆ ಕೇಂದ್ರೀಕರಿಸಿ ವಿವರಿಸುತ್ತದೆ.

ಕಂಟೆಂಟ್ ಸೆಕ್ಯುರಿಟಿ ಪಾಲಿಸಿ (CSP) ಎಂದರೇನು?

ಕಂಟೆಂಟ್ ಸೆಕ್ಯುರಿಟಿ ಪಾಲಿಸಿ (CSP) ಎನ್ನುವುದು ಒಂದು HTTP ಪ್ರತಿಕ್ರಿಯೆ ಹೆಡರ್ ಆಗಿದ್ದು, ಇದು ವೆಬ್‌ಸೈಟ್ ನಿರ್ವಾಹಕರಿಗೆ ನಿರ್ದಿಷ್ಟ ಪುಟಕ್ಕಾಗಿ ಬಳಕೆದಾರ ಏಜೆಂಟ್ (browser) ಲೋಡ್ ಮಾಡಲು ಅನುಮತಿಸಲಾದ ಸಂಪನ್ಮೂಲಗಳನ್ನು ನಿಯಂತ್ರಿಸಲು ಅನುವು ಮಾಡಿಕೊಡುತ್ತದೆ. ಇದು ಮೂಲಭೂತವಾಗಿ ಒಂದು ಶ್ವೇತಪಟ್ಟಿ (whitelist) ಆಗಿದ್ದು, ಸ್ಕ್ರಿಪ್ಟ್‌ಗಳು, ಸ್ಟೈಲ್‌ಶೀಟ್‌ಗಳು, ಚಿತ್ರಗಳು, ಫಾಂಟ್‌ಗಳು ಮತ್ತು ಇತರ ಸಂಪನ್ಮೂಲಗಳ ಮೂಲಗಳನ್ನು ನಿರ್ದಿಷ್ಟಪಡಿಸುತ್ತದೆ. CSP ಅನ್ನು ವ್ಯಾಖ್ಯಾನಿಸುವ ಮೂಲಕ, ದಾಳಿಕೋರರಿಂದ ಸೇರಿಸಲಾದ ದುರುದ್ದೇಶಪೂರಿತ ಕೋಡ್ ಅನ್ನು ಬ್ರೌಸರ್ ಕಾರ್ಯಗತಗೊಳಿಸುವುದನ್ನು ನೀವು ತಡೆಯಬಹುದು, ಆ ಮೂಲಕ XSS ದಾಳಿಗಳ ಅಪಾಯವನ್ನು ಗಮನಾರ್ಹವಾಗಿ ಕಡಿಮೆ ಮಾಡಬಹುದು.

CSP "ಡೀಫಾಲ್ಟ್ ಡಿನೈ" (default deny) ತತ್ವದ ಮೇಲೆ ಕಾರ್ಯನಿರ್ವಹಿಸುತ್ತದೆ, ಅಂದರೆ ನೀತಿಯಲ್ಲಿ ಸ್ಪಷ್ಟವಾಗಿ ಅನುಮತಿಸದ ಎಲ್ಲಾ ಸಂಪನ್ಮೂಲಗಳನ್ನು ಬ್ರೌಸರ್ ಪೂರ್ವನಿಯೋಜಿತವಾಗಿ ನಿರ್ಬಂಧಿಸುತ್ತದೆ. ಈ ವಿಧಾನವು ದಾಳಿಯ ಮೇಲ್ಮೈಯನ್ನು ಪರಿಣಾಮಕಾರಿಯಾಗಿ ಸೀಮಿತಗೊಳಿಸುತ್ತದೆ ಮತ್ತು ನಿಮ್ಮ ವೆಬ್ ಅಪ್ಲಿಕೇಶನ್ ಅನ್ನು ವಿವಿಧ ಬೆದರಿಕೆಗಳಿಂದ ರಕ್ಷಿಸುತ್ತದೆ.

ಜಾವಾಸ್ಕ್ರಿಪ್ಟ್ ಭದ್ರತೆಗೆ CSP ಏಕೆ ಮುಖ್ಯ?

ಜಾವಾಸ್ಕ್ರಿಪ್ಟ್, ಒಂದು ಕ್ಲೈಂಟ್-ಸೈಡ್ ಸ್ಕ್ರಿಪ್ಟಿಂಗ್ ಭಾಷೆಯಾಗಿರುವುದರಿಂದ, ದುರುದ್ದೇಶಪೂರಿತ ಕೋಡ್ ಅನ್ನು ಸೇರಿಸಲು ಪ್ರಯತ್ನಿಸುವ ದಾಳಿಕೋರರ ಪ್ರಾಥಮಿಕ ಗುರಿಯಾಗಿದೆ. XSS ದಾಳಿಗಳು, ಇದರಲ್ಲಿ ದಾಳಿಕೋರರು ಇತರ ಬಳಕೆದಾರರು ವೀಕ್ಷಿಸುವ ವೆಬ್‌ಸೈಟ್‌ಗಳಿಗೆ ದುರುದ್ದೇಶಪೂರಿತ ಸ್ಕ್ರಿಪ್ಟ್‌ಗಳನ್ನು ಸೇರಿಸುತ್ತಾರೆ, ಒಂದು ಸಾಮಾನ್ಯ ಬೆದರಿಕೆಯಾಗಿದೆ. ಜಾವಾಸ್ಕ್ರಿಪ್ಟ್ ಕೋಡ್ ಅನ್ನು ಯಾವ ಮೂಲಗಳಿಂದ ಕಾರ್ಯಗತಗೊಳಿಸಬಹುದು ಎಂಬುದನ್ನು ನಿಯಂತ್ರಿಸುವ ಮೂಲಕ XSS ದಾಳಿಗಳನ್ನು ತಗ್ಗಿಸುವಲ್ಲಿ CSP ವಿಶೇಷವಾಗಿ ಪರಿಣಾಮಕಾರಿಯಾಗಿದೆ.

CSP ಇಲ್ಲದಿದ್ದರೆ, ಯಶಸ್ವಿ XSS ದಾಳಿಯು ದಾಳಿಕೋರನಿಗೆ ಇವುಗಳನ್ನು ಮಾಡಲು ಅನುಮತಿಸಬಹುದು:

ಬಳಕೆದಾರರ ಕುಕೀಗಳು ಮತ್ತು ಸೆಷನ್ ಟೋಕನ್‌ಗಳನ್ನು ಕದಿಯುವುದು.
ವೆಬ್‌ಸೈಟ್ ಅನ್ನು ವಿರೂಪಗೊಳಿಸುವುದು.
ಬಳಕೆದಾರರನ್ನು ದುರುದ್ದೇಶಪೂರಿತ ವೆಬ್‌ಸೈಟ್‌ಗಳಿಗೆ ಮರುನಿರ್ದೇಶಿಸುವುದು.
ಬಳಕೆದಾರರ ಬ್ರೌಸರ್‌ಗೆ ಮಾಲ್‌ವೇರ್ ಅನ್ನು ಸೇರಿಸುವುದು.
ಸೂಕ್ಷ್ಮ ಡೇಟಾಗೆ ಅನಧಿಕೃತ ಪ್ರವೇಶವನ್ನು ಪಡೆಯುವುದು.

CSP ಅನ್ನು ಅನುಷ್ಠಾನಗೊಳಿಸುವ ಮೂಲಕ, ಅನಧಿಕೃತ ಜಾವಾಸ್ಕ್ರಿಪ್ಟ್ ಕೋಡ್ ಅನ್ನು ಬ್ರೌಸರ್ ಕಾರ್ಯಗತಗೊಳಿಸುವುದನ್ನು ತಡೆಯುವ ಮೂಲಕ ನೀವು ಈ ದಾಳಿಗಳ ಅಪಾಯವನ್ನು ಗಮನಾರ್ಹವಾಗಿ ಕಡಿಮೆ ಮಾಡಬಹುದು.

ಜಾವಾಸ್ಕ್ರಿಪ್ಟ್ ಭದ್ರತೆಗಾಗಿ ಪ್ರಮುಖ CSP ನಿರ್ದೇಶನಗಳು

CSP ನಿರ್ದೇಶನಗಳು (directives) ಸಂಪನ್ಮೂಲಗಳ ಅನುಮತಿಸಲಾದ ಮೂಲಗಳನ್ನು ವ್ಯಾಖ್ಯಾನಿಸುವ ನಿಯಮಗಳಾಗಿವೆ. ಜಾವಾಸ್ಕ್ರಿಪ್ಟ್ ಅನ್ನು ಸುರಕ್ಷಿತಗೊಳಿಸಲು ಹಲವಾರು ನಿರ್ದೇಶನಗಳು ವಿಶೇಷವಾಗಿ ಪ್ರಸ್ತುತವಾಗಿವೆ:

script-src

script-src ನಿರ್ದೇಶನವು ಜಾವಾಸ್ಕ್ರಿಪ್ಟ್ ಕೋಡ್ ಅನ್ನು ಯಾವ ಸ್ಥಳಗಳಿಂದ ಲೋಡ್ ಮಾಡಬಹುದು ಎಂಬುದನ್ನು ನಿಯಂತ್ರಿಸುತ್ತದೆ. ಜಾವಾಸ್ಕ್ರಿಪ್ಟ್ ಭದ್ರತೆಗಾಗಿ ಇದು ಬಹುಶಃ ಅತ್ಯಂತ ಪ್ರಮುಖ ನಿರ್ದೇಶನವಾಗಿದೆ. ಇಲ್ಲಿ ಕೆಲವು ಸಾಮಾನ್ಯ ಮೌಲ್ಯಗಳಿವೆ:

'self': ಡಾಕ್ಯುಮೆಂಟ್‌ನ ಅದೇ ಮೂಲದಿಂದ ಸ್ಕ್ರಿಪ್ಟ್‌ಗಳನ್ನು ಅನುಮತಿಸುತ್ತದೆ. ಇದು ಸಾಮಾನ್ಯವಾಗಿ ಉತ್ತಮ ಆರಂಭಿಕ ಹಂತವಾಗಿದೆ.
'none': ಎಲ್ಲಾ ಸ್ಕ್ರಿಪ್ಟ್‌ಗಳನ್ನು ನಿಷೇಧಿಸುತ್ತದೆ. ನಿಮ್ಮ ಪುಟಕ್ಕೆ ಯಾವುದೇ ಜಾವಾಸ್ಕ್ರಿಪ್ಟ್ ಅಗತ್ಯವಿಲ್ಲದಿದ್ದರೆ ಇದನ್ನು ಬಳಸಿ.
'unsafe-inline': ಇನ್‌ಲೈನ್ ಸ್ಕ್ರಿಪ್ಟ್‌ಗಳನ್ನು (<script> ಟ್ಯಾಗ್‌ಗಳೊಳಗಿನ ಸ್ಕ್ರಿಪ್ಟ್‌ಗಳು) ಮತ್ತು ಈವೆಂಟ್ ಹ್ಯಾಂಡ್ಲರ್‌ಗಳನ್ನು (ಉದಾ., onclick) ಅನುಮತಿಸುತ್ತದೆ. ಇದನ್ನು ಅತ್ಯಂತ ಎಚ್ಚರಿಕೆಯಿಂದ ಬಳಸಿ ಏಕೆಂದರೆ ಇದು CSPಯನ್ನು ಗಮನಾರ್ಹವಾಗಿ ದುರ್ಬಲಗೊಳಿಸುತ್ತದೆ.
'unsafe-eval': eval() ಮತ್ತು Function() ನಂತಹ ಸಂಬಂಧಿತ ಕಾರ್ಯಗಳ ಬಳಕೆಯನ್ನು ಅನುಮತಿಸುತ್ತದೆ. ಇದರ ಭದ್ರತಾ ಪರಿಣಾಮಗಳಿಂದಾಗಿ ಸಾಧ್ಯವಾದಾಗಲೆಲ್ಲಾ ಇದನ್ನು ತಪ್ಪಿಸಬೇಕು.
https://example.com: ನಿರ್ದಿಷ್ಟ ಡೊಮೇನ್‌ನಿಂದ ಸ್ಕ್ರಿಪ್ಟ್‌ಗಳನ್ನು ಅನುಮತಿಸುತ್ತದೆ. ನಿಖರವಾಗಿರಿ ಮತ್ತು ವಿಶ್ವಾಸಾರ್ಹ ಡೊಮೇನ್‌ಗಳನ್ನು ಮಾತ್ರ ಅನುಮತಿಸಿ.
'nonce-value': ನಿರ್ದಿಷ್ಟ ಕ್ರಿಪ್ಟೋಗ್ರಾಫಿಕ್ ನಾನ್ಸ್ (nonce) ಗುಣಲಕ್ಷಣವನ್ನು ಹೊಂದಿರುವ ಇನ್‌ಲೈನ್ ಸ್ಕ್ರಿಪ್ಟ್‌ಗಳನ್ನು ಅನುಮತಿಸುತ್ತದೆ. ಇದು 'unsafe-inline' ಗೆ ಹೆಚ್ಚು ಸುರಕ್ಷಿತ ಪರ್ಯಾಯವಾಗಿದೆ.
'sha256-hash': ನಿರ್ದಿಷ್ಟ SHA256 ಹ್ಯಾಶ್ ಹೊಂದಿರುವ ಇನ್‌ಲೈನ್ ಸ್ಕ್ರಿಪ್ಟ್‌ಗಳನ್ನು ಅನುಮತಿಸುತ್ತದೆ. ಇದು 'unsafe-inline' ಗೆ ಮತ್ತೊಂದು ಹೆಚ್ಚು ಸುರಕ್ಷಿತ ಪರ್ಯಾಯವಾಗಿದೆ.

ಉದಾಹರಣೆ:

script-src 'self' https://cdn.example.com;

ಈ ನೀತಿಯು ಒಂದೇ ಮೂಲದಿಂದ ಮತ್ತು https://cdn.example.com ನಿಂದ ಸ್ಕ್ರಿಪ್ಟ್‌ಗಳನ್ನು ಅನುಮತಿಸುತ್ತದೆ.

default-src

default-src ನಿರ್ದೇಶನವು ಇತರ ಫೆಚ್ (fetch) ನಿರ್ದೇಶನಗಳಿಗೆ ಫಾಲ್‌ಬ್ಯಾಕ್ ಆಗಿ ಕಾರ್ಯನಿರ್ವಹಿಸುತ್ತದೆ. ಒಂದು ನಿರ್ದಿಷ್ಟ ನಿರ್ದೇಶನವನ್ನು (ಉದಾ., script-src, img-src) ವ್ಯಾಖ್ಯಾನಿಸದಿದ್ದರೆ, default-src ನೀತಿಯನ್ನು ಅನ್ವಯಿಸಲಾಗುತ್ತದೆ. ಅನಿರೀಕ್ಷಿತ ಸಂಪನ್ಮೂಲ ಲೋಡಿಂಗ್‌ನ ಅಪಾಯವನ್ನು ಕಡಿಮೆ ಮಾಡಲು ನಿರ್ಬಂಧಿತ default-src ಅನ್ನು ಹೊಂದಿಸುವುದು ಉತ್ತಮ ಅಭ್ಯಾಸವಾಗಿದೆ.

ಉದಾಹರಣೆ:

default-src 'self';

ಈ ನೀತಿಯು ಪೂರ್ವನಿಯೋಜಿತವಾಗಿ ಒಂದೇ ಮೂಲದಿಂದ ಸಂಪನ್ಮೂಲಗಳನ್ನು ಅನುಮತಿಸುತ್ತದೆ. ಹೆಚ್ಚು ನಿರ್ದಿಷ್ಟವಾದ ನಿರ್ದೇಶನವು ಅವುಗಳನ್ನು ಅನುಮತಿಸದ ಹೊರತು ಯಾವುದೇ ಇತರ ಸಂಪನ್ಮೂಲ ಪ್ರಕಾರಗಳನ್ನು ನಿರ್ಬಂಧಿಸಲಾಗುತ್ತದೆ.

style-src

ಮುಖ್ಯವಾಗಿ CSS ಮೂಲಗಳನ್ನು ನಿಯಂತ್ರಿಸಲು ಬಳಸಲಾಗುವುದಾದರೂ, ನಿಮ್ಮ CSS ಎಕ್ಸ್‌ಪ್ರೆಶನ್‌ಗಳನ್ನು ಹೊಂದಿದ್ದರೆ ಅಥವಾ ದುರ್ಬಳಕೆ ಮಾಡಬಹುದಾದ ವೈಶಿಷ್ಟ್ಯಗಳನ್ನು ಬಳಸಿದರೆ style-src ನಿರ್ದೇಶನವು ಪರೋಕ್ಷವಾಗಿ ಜಾವಾಸ್ಕ್ರಿಪ್ಟ್ ಭದ್ರತೆಯ ಮೇಲೆ ಪರಿಣಾಮ ಬೀರಬಹುದು. script-src ನಂತೆಯೇ, ನಿಮ್ಮ ಸ್ಟೈಲ್‌ಶೀಟ್‌ಗಳ ಮೂಲಗಳನ್ನು ನೀವು ನಿರ್ಬಂಧಿಸಬೇಕು.

ಉದಾಹರಣೆ:

style-src 'self' https://fonts.googleapis.com;

ಈ ನೀತಿಯು ಒಂದೇ ಮೂಲದಿಂದ ಮತ್ತು ಗೂಗಲ್ ಫಾಂಟ್ಸ್‌ನಿಂದ ಸ್ಟೈಲ್‌ಶೀಟ್‌ಗಳನ್ನು ಅನುಮತಿಸುತ್ತದೆ.

object-src

object-src ನಿರ್ದೇಶನವು ಫ್ಲ್ಯಾಶ್‌ನಂತಹ ಪ್ಲಗಿನ್‌ಗಳ ಮೂಲಗಳನ್ನು ನಿಯಂತ್ರಿಸುತ್ತದೆ. ಫ್ಲ್ಯಾಶ್ ಕಡಿಮೆ ಸಾಮಾನ್ಯವಾಗುತ್ತಿದ್ದರೂ, ದುರುದ್ದೇಶಪೂರಿತ ವಿಷಯವನ್ನು ಲೋಡ್ ಮಾಡುವುದನ್ನು ತಡೆಯಲು ಪ್ಲಗಿನ್‌ಗಳ ಮೂಲಗಳನ್ನು ನಿರ್ಬಂಧಿಸುವುದು ಇನ್ನೂ ಮುಖ್ಯವಾಗಿದೆ. ಸಾಮಾನ್ಯವಾಗಿ, ನಿಮಗೆ ಪ್ಲಗಿನ್‌ಗಳಿಗಾಗಿ ನಿರ್ದಿಷ್ಟ ಅಗತ್ಯವಿಲ್ಲದಿದ್ದರೆ ಇದನ್ನು 'none' ಗೆ ಹೊಂದಿಸಲು ಶಿಫಾರಸು ಮಾಡಲಾಗಿದೆ.

ಉದಾಹರಣೆ:

object-src 'none';

ಈ ನೀತಿಯು ಎಲ್ಲಾ ಪ್ಲಗಿನ್‌ಗಳನ್ನು ನಿಷೇಧಿಸುತ್ತದೆ.

ಜಾವಾಸ್ಕ್ರಿಪ್ಟ್‌ನೊಂದಿಗೆ CSP ಅನ್ನು ಅನುಷ್ಠಾನಗೊಳಿಸಲು ಉತ್ತಮ ಅಭ್ಯಾಸಗಳು

CSPಯನ್ನು ಪರಿಣಾಮಕಾರಿಯಾಗಿ ಅನುಷ್ಠಾನಗೊಳಿಸಲು ಎಚ್ಚರಿಕೆಯ ಯೋಜನೆ ಮತ್ತು ಪರಿಗಣನೆ ಅಗತ್ಯ. ಅನುಸರಿಸಬೇಕಾದ ಕೆಲವು ಉತ್ತಮ ಅಭ್ಯಾಸಗಳು ಇಲ್ಲಿವೆ:

1. ರಿಪೋರ್ಟ್-ಓನ್ಲಿ ಪಾಲಿಸಿಯೊಂದಿಗೆ ಪ್ರಾರಂಭಿಸಿ

CSP ಅನ್ನು ಜಾರಿಗೊಳಿಸುವ ಮೊದಲು, ರಿಪೋರ್ಟ್-ಓನ್ಲಿ (report-only) ಪಾಲಿಸಿಯೊಂದಿಗೆ ಪ್ರಾರಂಭಿಸಲು ಹೆಚ್ಚು ಶಿಫಾರಸು ಮಾಡಲಾಗಿದೆ. ಇದು ಯಾವುದೇ ಸಂಪನ್ಮೂ_ಲಗಳನ್ನು ನಿರ್ಬಂಧಿಸದೆ ನಿಮ್ಮ ನೀತಿಯ ಪರಿಣಾಮಗಳನ್ನು ಮೇಲ್ವಿಚಾರಣೆ ಮಾಡಲು ನಿಮಗೆ ಅನುವು ಮಾಡಿಕೊಡುತ್ತದೆ. ರಿಪೋರ್ಟ್-ಓನ್ಲಿ ಪಾಲಿಸಿಯನ್ನು ವ್ಯಾಖ್ಯಾನಿಸಲು ನೀವು Content-Security-Policy-Report-Only ಹೆಡರ್ ಅನ್ನು ಬಳಸಬಹುದು. ನೀತಿಯ ಉಲ್ಲಂಘನೆಗಳನ್ನು report-uri ನಿರ್ದೇಶನವನ್ನು ಬಳಸಿಕೊಂಡು ನಿರ್ದಿಷ್ಟಪಡಿಸಿದ URIಗೆ ವರದಿ ಮಾಡಲಾಗುತ್ತದೆ.

ಉದಾಹರಣೆ:

Content-Security-Policy-Report-Only: default-src 'self'; report-uri /csp-report-endpoint;

ಈ ನೀತಿಯು ಯಾವುದೇ ಸಂಪನ್ಮೂಲಗಳನ್ನು ನಿರ್ಬಂಧಿಸದೆ ಉಲ್ಲಂಘನೆಗಳನ್ನು /csp-report-endpoint ಗೆ ವರದಿ ಮಾಡುತ್ತದೆ.

2. 'unsafe-inline' ಮತ್ತು 'unsafe-eval' ಅನ್ನು ತಪ್ಪಿಸಿ

ಹಿಂದೆ ಹೇಳಿದಂತೆ, 'unsafe-inline' ಮತ್ತು 'unsafe-eval' CSPಯನ್ನು ಗಮನಾರ್ಹವಾಗಿ ದುರ್ಬಲಗೊಳಿಸುತ್ತವೆ ಮತ್ತು ಸಾಧ್ಯವಾದಾಗಲೆಲ್ಲಾ ಅವುಗಳನ್ನು ತಪ್ಪಿಸಬೇಕು. ಇನ್‌ಲೈನ್ ಸ್ಕ್ರಿಪ್ಟ್‌ಗಳು ಮತ್ತು eval() XSS ದಾಳಿಗಳಿಗೆ ಸಾಮಾನ್ಯ ಗುರಿಗಳಾಗಿವೆ. ನೀವು ಇನ್‌ಲೈನ್ ಸ್ಕ್ರಿಪ್ಟ್‌ಗಳನ್ನು ಬಳಸಬೇಕಾದರೆ, ಬದಲಿಗೆ ನಾನ್ಸ್‌ಗಳು ಅಥವಾ ಹ್ಯಾಶ್‌ಗಳನ್ನು ಬಳಸುವುದನ್ನು ಪರಿಗಣಿಸಿ.

3. ಇನ್‌ಲೈನ್ ಸ್ಕ್ರಿಪ್ಟ್‌ಗಳಿಗಾಗಿ ನಾನ್ಸ್‌ಗಳು ಅಥವಾ ಹ್ಯಾಶ್‌ಗಳನ್ನು ಬಳಸಿ

ನಾನ್ಸ್‌ಗಳು (Nonces) ಮತ್ತು ಹ್ಯಾಶ್‌ಗಳು ಇನ್‌ಲೈನ್ ಸ್ಕ್ರಿಪ್ಟ್‌ಗಳನ್ನು ಅನುಮತಿಸಲು ಹೆಚ್ಚು ಸುರಕ್ಷಿತ ಮಾರ್ಗವನ್ನು ಒದಗಿಸುತ್ತವೆ. ನಾನ್ಸ್ ಎನ್ನುವುದು ಯಾದೃಚ್ಛಿಕ, ಏಕ-ಬಳಕೆಯ ಸ್ಟ್ರಿಂಗ್ ಆಗಿದ್ದು, ಅದನ್ನು <script> ಟ್ಯಾಗ್‌ಗೆ ಸೇರಿಸಲಾಗುತ್ತದೆ ಮತ್ತು CSP ಹೆಡರ್‌ನಲ್ಲಿ ಸೇರಿಸಲಾಗುತ್ತದೆ. ಹ್ಯಾಶ್ ಎನ್ನುವುದು ಸ್ಕ್ರಿಪ್ಟ್ ವಿಷಯದ ಕ್ರಿಪ್ಟೋಗ್ರಾಫಿಕ್ ಹ್ಯಾಶ್ ಆಗಿದ್ದು, ಅದನ್ನು CSP ಹೆಡರ್‌ನಲ್ಲಿಯೂ ಸೇರಿಸಲಾಗುತ್ತದೆ.

ನಾನ್ಸ್‌ಗಳನ್ನು ಬಳಸುವ ಉದಾಹರಣೆ:

HTML:

<script nonce="randomNonceValue">console.log('Inline script');</script>

CSP ಹೆಡರ್:

script-src 'self' 'nonce-randomNonceValue';

ಹ್ಯಾಶ್‌ಗಳನ್ನು ಬಳಸುವ ಉದಾಹರಣೆ:

HTML:

<script>console.log('Inline script');</script>

CSP ಹೆಡರ್:

script-src 'self' 'sha256-uniqueHashValue'; (`uniqueHashValue` ಅನ್ನು ಸ್ಕ್ರಿಪ್ಟ್ ವಿಷಯದ ನಿಜವಾದ SHA256 ಹ್ಯಾಶ್‌ನೊಂದಿಗೆ ಬದಲಾಯಿಸಿ)

ಗಮನಿಸಿ: ಸ್ಕ್ರಿಪ್ಟ್‌ಗಾಗಿ ಸರಿಯಾದ ಹ್ಯಾಶ್ ಅನ್ನು ರಚಿಸುವುದನ್ನು ಬಿಲ್ಡ್ ಟೂಲ್‌ಗಳು ಅಥವಾ ಸರ್ವರ್-ಸೈಡ್ ಕೋಡ್ ಬಳಸಿ ಸ್ವಯಂಚಾಲಿತಗೊಳಿಸಬಹುದು. ಅಲ್ಲದೆ, ಸ್ಕ್ರಿಪ್ಟ್ ವಿಷಯದಲ್ಲಿ ಯಾವುದೇ ಬದಲಾವಣೆಯು ಹ್ಯಾಶ್‌ನ ಮರು-ಲೆಕ್ಕಾಚಾರ ಮತ್ತು ನವೀಕರಣದ ಅಗತ್ಯವಿರುತ್ತದೆ ಎಂಬುದನ್ನು ಗಮನಿಸಿ.

4. ಮೂಲಗಳೊಂದಿಗೆ ನಿರ್ದಿಷ್ಟವಾಗಿರಿ

ನಿಮ್ಮ CSP ನಿರ್ದೇಶನಗಳಲ್ಲಿ ವೈಲ್ಡ್‌ಕಾರ್ಡ್ ಅಕ್ಷರಗಳನ್ನು (*) ಬಳಸುವುದನ್ನು ತಪ್ಪಿಸಿ. ಬದಲಾಗಿ, ನೀವು ಅನುಮತಿಸಲು ಬಯಸುವ ನಿಖರವಾದ ಮೂಲಗಳನ್ನು ನಿರ್ದಿಷ್ಟಪಡಿಸಿ. ಇದು ಆಕಸ್ಮಿಕವಾಗಿ ವಿಶ್ವಾಸಾರ್ಹವಲ್ಲದ ಮೂಲಗಳನ್ನು ಅನುಮತಿಸುವ ಅಪಾಯವನ್ನು ಕಡಿಮೆ ಮಾಡುತ್ತದೆ.

ಉದಾಹರಣೆ:

ಇದರ ಬದಲು:

script-src *; (ಇದನ್ನು ಹೆಚ್ಚು ನಿರುತ್ಸಾಹಗೊಳಿಸಲಾಗುತ್ತದೆ)

ಬಳಸಿ:

script-src 'self' https://cdn.example.com https://api.example.com;

5. ನಿಮ್ಮ CSPಯನ್ನು ನಿಯಮಿತವಾಗಿ ಪರಿಶೀಲಿಸಿ ಮತ್ತು ನವೀಕರಿಸಿ

ನಿಮ್ಮ ವೆಬ್ ಅಪ್ಲಿಕೇಶನ್‌ನಲ್ಲಿನ ಬದಲಾವಣೆಗಳನ್ನು ಮತ್ತು ವಿಕಸಿಸುತ್ತಿರುವ ಬೆದರಿಕೆಗಳ ಭೂದೃಶ್ಯವನ್ನು ಪ್ರತಿಬಿಂಬಿಸಲು ನಿಮ್ಮ CSPಯನ್ನು ನಿಯಮಿತವಾಗಿ ಪರಿಶೀಲಿಸಬೇಕು ಮತ್ತು ನವೀಕರಿಸಬೇಕು. ನೀವು ಹೊಸ ವೈಶಿಷ್ಟ್ಯಗಳನ್ನು ಸೇರಿಸಿದಾಗ ಅಥವಾ ಹೊಸ ಸೇವೆಗಳೊಂದಿಗೆ ಸಂಯೋಜಿಸಿದಾಗ, ಅಗತ್ಯ ಸಂಪನ್ಮೂಲಗಳನ್ನು ಅನುಮತಿಸಲು ನಿಮ್ಮ CSPಯನ್ನು ನೀವು ಸರಿಹೊಂದಿಸಬೇಕಾಗಬಹುದು.

6. CSP ಜನರೇಟರ್ ಅಥವಾ ನಿರ್ವಹಣಾ ಸಾಧನವನ್ನು ಬಳಸಿ

ಹಲವಾರು ಆನ್‌ಲೈನ್ ಪರಿಕರಗಳು ಮತ್ತು ಬ್ರೌಸರ್ ವಿಸ್ತರಣೆಗಳು ನಿಮ್ಮ CSPಯನ್ನು ರಚಿಸಲು ಮತ್ತು ನಿರ್ವಹಿಸಲು ನಿಮಗೆ ಸಹಾಯ ಮಾಡುತ್ತವೆ. ಈ ಪರಿಕರಗಳು ಬಲವಾದ CSPಯನ್ನು ರಚಿಸುವ ಮತ್ತು ನಿರ್ವಹಿಸುವ ಪ್ರಕ್ರಿಯೆಯನ್ನು ಸರಳಗೊಳಿಸಬಹುದು.

7. ನಿಮ್ಮ CSPಯನ್ನು ಸಂಪೂರ್ಣವಾಗಿ ಪರೀಕ್ಷಿಸಿ

ನಿಮ್ಮ CSPಯನ್ನು ಅನುಷ್ಠಾನಗೊಳಿಸಿದ ಅಥವಾ ನವೀಕರಿಸಿದ ನಂತರ, ಎಲ್ಲಾ ಸಂಪನ್ಮೂಲಗಳು ಸರಿಯಾಗಿ ಲೋಡ್ ಆಗುತ್ತಿವೆಯೇ ಮತ್ತು ಯಾವುದೇ ಕಾರ್ಯಕ್ಷಮತೆ ಮುರಿದುಹೋಗಿಲ್ಲ ಎಂದು ಖಚಿತಪಡಿಸಿಕೊಳ್ಳಲು ನಿಮ್ಮ ವೆಬ್ ಅಪ್ಲಿಕೇಶನ್ ಅನ್ನು ಸಂಪೂರ್ಣವಾಗಿ ಪರೀಕ್ಷಿಸಿ. ಯಾವುದೇ CSP ಉಲ್ಲಂಘನೆಗಳನ್ನು ಗುರುತಿಸಲು ಮತ್ತು ಅದಕ್ಕೆ ಅನುಗುಣವಾಗಿ ನಿಮ್ಮ ನೀತಿಯನ್ನು ಸರಿಹೊಂದಿಸಲು ಬ್ರೌಸರ್ ಡೆವಲಪರ್ ಪರಿಕರಗಳನ್ನು ಬಳಸಿ.

CSP ಅನುಷ್ಠಾನದ ಪ್ರಾಯೋಗಿಕ ಉದಾಹರಣೆಗಳು

ವಿವಿಧ ಸನ್ನಿವೇಶಗಳಿಗಾಗಿ CSP ಅನುಷ್ಠಾನದ ಕೆಲವು ಪ್ರಾಯೋಗಿಕ ಉದಾಹರಣೆಗಳನ್ನು ನೋಡೋಣ:

ಉದಾಹರಣೆ 1: CDN ಹೊಂದಿರುವ ಮೂಲಭೂತ ವೆಬ್‌ಸೈಟ್

ಜಾವಾಸ್ಕ್ರಿಪ್ಟ್ ಮತ್ತು CSS ಫೈಲ್‌ಗಳಿಗಾಗಿ CDN ಅನ್ನು ಬಳಸುವ ಮೂಲಭೂತ ವೆಬ್‌ಸೈಟ್:

CSP ಹೆಡರ್:

default-src 'self'; script-src 'self' https://cdn.example.com; style-src 'self' https://cdn.example.com; img-src 'self' data:; font-src 'self' https://fonts.gstatic.com;

ಈ ನೀತಿಯು ಇವುಗಳನ್ನು ಅನುಮತಿಸುತ್ತದೆ:

ಒಂದೇ ಮೂಲದಿಂದ ಸಂಪನ್ಮೂಲಗಳು.
https://cdn.example.com ನಿಂದ ಸ್ಕ್ರಿಪ್ಟ್‌ಗಳು ಮತ್ತು ಸ್ಟೈಲ್‌ಶೀಟ್‌ಗಳು.
ಒಂದೇ ಮೂಲದಿಂದ ಮತ್ತು ಡೇಟಾ URIಗಳಿಂದ ಚಿತ್ರಗಳು.
ಒಂದೇ ಮೂಲದಿಂದ ಮತ್ತು ಗೂಗಲ್ ಫಾಂಟ್ಸ್ (https://fonts.gstatic.com) ನಿಂದ ಫಾಂಟ್‌ಗಳು.

ಉದಾಹರಣೆ 2: ಇನ್‌ಲೈನ್ ಸ್ಕ್ರಿಪ್ಟ್‌ಗಳು ಮತ್ತು ಸ್ಟೈಲ್‌ಗಳನ್ನು ಹೊಂದಿರುವ ವೆಬ್‌ಸೈಟ್

ನಾನ್ಸ್‌ಗಳೊಂದಿಗೆ ಇನ್‌ಲೈನ್ ಸ್ಕ್ರಿಪ್ಟ್‌ಗಳು ಮತ್ತು ಸ್ಟೈಲ್‌ಗಳನ್ನು ಬಳಸುವ ವೆಬ್‌ಸೈಟ್:

HTML:

<script nonce="uniqueNonce123">console.log('Inline script');</script> <style nonce="uniqueNonce456">body { background-color: #f0f0f0; }</style>

CSP ಹೆಡರ್:

default-src 'self'; script-src 'self' 'nonce-uniqueNonce123'; style-src 'self' 'nonce-uniqueNonce456'; img-src 'self' data:;

ಈ ನೀತಿಯು ಇವುಗಳನ್ನು ಅನುಮತಿಸುತ್ತದೆ:

ಒಂದೇ ಮೂಲದಿಂದ ಸಂಪನ್ಮೂಲಗಳು.
"uniqueNonce123" ನಾನ್ಸ್‌ನೊಂದಿಗೆ ಇನ್‌ಲೈನ್ ಸ್ಕ್ರಿಪ್ಟ್‌ಗಳು.
"uniqueNonce456" ನಾನ್ಸ್‌ನೊಂದಿಗೆ ಇನ್‌ಲೈನ್ ಸ್ಟೈಲ್‌ಗಳು.
ಒಂದೇ ಮೂಲದಿಂದ ಮತ್ತು ಡೇಟಾ URIಗಳಿಂದ ಚಿತ್ರಗಳು.

ಉದಾಹರಣೆ 3: ಕಟ್ಟುನಿಟ್ಟಾದ CSP ಹೊಂದಿರುವ ವೆಬ್‌ಸೈಟ್

ತುಂಬಾ ಕಟ್ಟುನಿಟ್ಟಾದ CSPಯನ್ನು ಗುರಿಯಾಗಿಸಿಕೊಂಡಿರುವ ವೆಬ್‌ಸೈಟ್:

CSP ಹೆಡರ್:

default-src 'none'; script-src 'self'; style-src 'self'; img-src 'self' data:; font-src 'self'; connect-src 'self'; base-uri 'self'; form-action 'self';

ಈ ನೀತಿಯು ಇವುಗಳನ್ನು ಅನುಮತಿಸುತ್ತದೆ:

ಕೇವಲ ಒಂದೇ ಮೂಲದಿಂದ ಸಂಪನ್ಮೂಲಗಳು, ಮತ್ತು ನಿರ್ದಿಷ್ಟವಾಗಿ ಅನುಮತಿಸದ ಹೊರತು ಎಲ್ಲಾ ಇತರ ರೀತಿಯ ಸಂಪನ್ಮೂಲಗಳನ್ನು ಸ್ಪಷ್ಟವಾಗಿ ನಿಷ್ಕ್ರಿಯಗೊಳಿಸುತ್ತದೆ.
ಇದು ಬೇಸ್ URI ಮತ್ತು ಫಾರ್ಮ್ ಕ್ರಿಯೆಗಳನ್ನು ಒಂದೇ ಮೂಲಕ್ಕೆ ನಿರ್ಬಂಧಿಸುವಂತಹ ಹೆಚ್ಚುವರಿ ಭದ್ರತಾ ಕ್ರಮಗಳನ್ನು ಸಹ ಜಾರಿಗೊಳಿಸುತ್ತದೆ.

CSP ಮತ್ತು ಆಧುನಿಕ ಜಾವಾಸ್ಕ್ರಿಪ್ಟ್ ಫ್ರೇಮ್‌ವರ್ಕ್‌ಗಳು (React, Angular, Vue.js)

React, Angular, ಅಥವಾ Vue.js ನಂತಹ ಆಧುನಿಕ ಜಾವಾಸ್ಕ್ರಿಪ್ಟ್ ಫ್ರೇಮ್‌ವರ್ಕ್‌ಗಳನ್ನು ಬಳಸುವಾಗ, CSP ಅನುಷ್ಠಾನಕ್ಕೆ ವಿಶೇಷ ಗಮನ ಬೇಕು. ಈ ಫ್ರೇಮ್‌ವರ್ಕ್‌ಗಳು ಇನ್‌ಲೈನ್ ಸ್ಟೈಲ್‌ಗಳು, ಡೈನಾಮಿಕ್ ಕೋಡ್ ಜನರೇಷನ್, ಮತ್ತು eval() ನಂತಹ ತಂತ್ರಗಳನ್ನು ಬಳಸುತ್ತವೆ, ಇದು CSPಗೆ ಸಮಸ್ಯಾತ್ಮಕವಾಗಬಹುದು.

React

React ಸಾಮಾನ್ಯವಾಗಿ ಕಾಂಪೊನೆಂಟ್ ಸ್ಟೈಲಿಂಗ್‌ಗಾಗಿ ಇನ್‌ಲೈನ್ ಸ್ಟೈಲ್‌ಗಳನ್ನು ಬಳಸುತ್ತದೆ. ಇದನ್ನು ಪರಿಹರಿಸಲು, ನೀವು ನಾನ್ಸ್‌ಗಳು ಅಥವಾ ಹ್ಯಾಶ್‌ಗಳನ್ನು ಬೆಂಬಲಿಸುವ CSS-in-JS ಲೈಬ್ರರಿಗಳನ್ನು ಬಳಸಬಹುದು, ಅಥವಾ ನಿಮ್ಮ ಸ್ಟೈಲ್‌ಗಳನ್ನು CSS ಫೈಲ್‌ಗಳಿಗೆ ಬಾಹ್ಯೀಕರಿಸಬಹುದು.

Angular

Angularನ ಜಸ್ಟ್-ಇನ್-ಟೈಮ್ (JIT) ಸಂಕಲನವು eval() ಅನ್ನು ಅವಲಂಬಿಸಿದೆ, ಇದು ಕಟ್ಟುನಿಟ್ಟಾದ CSPಯೊಂದಿಗೆ ಹೊಂದಿಕೆಯಾಗುವುದಿಲ್ಲ. ಇದನ್ನು ನಿವಾರಿಸಲು, ನೀವು ಅಹೆಡ್-ಆಫ್-ಟೈಮ್ (AOT) ಸಂಕಲನವನ್ನು ಬಳಸಬೇಕು, ಇದು ನಿಮ್ಮ ಅಪ್ಲಿಕೇಶನ್ ಅನ್ನು ಬಿಲ್ಡ್ ಪ್ರಕ್ರಿಯೆಯ ಸಮಯದಲ್ಲಿ ಸಂಕಲಿಸುತ್ತದೆ ಮತ್ತು ರನ್‌ಟೈಮ್‌ನಲ್ಲಿ eval() ನ ಅಗತ್ಯವನ್ನು ನಿವಾರಿಸುತ್ತದೆ.

Vue.js

Vue.js ಸಹ ಇನ್‌ಲೈನ್ ಸ್ಟೈಲ್‌ಗಳು ಮತ್ತು ಡೈನಾಮಿಕ್ ಕೋಡ್ ಜನರೇಷನ್ ಅನ್ನು ಬಳಸುತ್ತದೆ. React ನಂತೆಯೇ, ನೀವು CSS-in-JS ಲೈಬ್ರರಿಗಳನ್ನು ಬಳಸಬಹುದು ಅಥವಾ ನಿಮ್ಮ ಸ್ಟೈಲ್‌ಗಳನ್ನು ಬಾಹ್ಯೀಕರಿಸಬಹುದು. ಡೈನಾಮಿಕ್ ಕೋಡ್ ಜನರೇಷನ್‌ಗಾಗಿ, ಬಿಲ್ಡ್ ಪ್ರಕ್ರಿಯೆಯ ಸಮಯದಲ್ಲಿ Vue.js ನ ಟೆಂಪ್ಲೇಟ್ ಕಂಪೈಲರ್ ಅನ್ನು ಬಳಸುವುದನ್ನು ಪರಿಗಣಿಸಿ.

CSP ವರದಿ ಮಾಡುವಿಕೆ

CSP ವರದಿ ಮಾಡುವಿಕೆ (reporting) ಅನುಷ್ಠಾನ ಪ್ರಕ್ರಿಯೆಯ ಒಂದು ಅತ್ಯಗತ್ಯ ಭಾಗವಾಗಿದೆ. report-uri ಅಥವಾ report-to ನಿರ್ದೇಶನವನ್ನು ಕಾನ್ಫಿಗರ್ ಮಾಡುವ ಮೂಲಕ, ನೀವು CSP ಉಲ್ಲಂಘನೆಗಳ ಬಗ್ಗೆ ವರದಿಗಳನ್ನು ಪಡೆಯಬಹುದು. ಈ ವರದಿಗಳು ನಿಮ್ಮ ನೀತಿಯಲ್ಲಿನ ಯಾವುದೇ ಸಮಸ್ಯೆಗಳನ್ನು ಗುರುತಿಸಲು ಮತ್ತು ಸರಿಪಡಿಸಲು ನಿಮಗೆ ಸಹಾಯ ಮಾಡುತ್ತವೆ.

report-uri ನಿರ್ದೇಶನವು ಬ್ರೌಸರ್ CSP ಉಲ್ಲಂಘನೆ ವರದಿಗಳನ್ನು JSON ಪೇಲೋಡ್ ಆಗಿ ಕಳುಹಿಸಬೇಕಾದ URL ಅನ್ನು ನಿರ್ದಿಷ್ಟಪಡಿಸುತ್ತದೆ. ಈ ನಿರ್ದೇಶನವನ್ನು report-to ಪರವಾಗಿ ಅಸಮ್ಮತಿಸಲಾಗುತ್ತಿದೆ.

report-to ನಿರ್ದೇಶನವು Report-To ಹೆಡರ್‌ನಲ್ಲಿ ವ್ಯಾಖ್ಯಾನಿಸಲಾದ ಗುಂಪಿನ ಹೆಸರನ್ನು ನಿರ್ದಿಷ್ಟಪಡಿಸುತ್ತದೆ. ಈ ಹೆಡರ್ ನಿಮಗೆ ವಿವಿಧ ವರದಿ ಮಾಡುವ ಎಂಡ್‌ಪಾಯಿಂಟ್‌ಗಳನ್ನು ಕಾನ್ಫಿಗರ್ ಮಾಡಲು ಮತ್ತು ಅವುಗಳಿಗೆ ಆದ್ಯತೆ ನೀಡಲು ಅನುವು ಮಾಡಿಕೊಡುತ್ತದೆ.

report-uri ಬಳಸುವ ಉದಾಹರಣೆ:

Content-Security-Policy: default-src 'self'; report-uri /csp-report-endpoint;

report-to ಬಳಸುವ ಉದಾಹರಣೆ:

Report-To: {"group":"csp-endpoint","max_age":10886400,"endpoints":[{"url":"/csp-report-endpoint"}]} Content-Security-Policy: default-src 'self'; report-to csp-endpoint;

ಪರಿಕರಗಳು ಮತ್ತು ಸಂಪನ್ಮೂಲಗಳು

ಹಲವಾರು ಪರಿಕರಗಳು ಮತ್ತು ಸಂಪನ್ಮೂಲಗಳು CSPಯನ್ನು ಅನುಷ್ಠಾನಗೊಳಿಸಲು ಮತ್ತು ನಿರ್ವಹಿಸಲು ನಿಮಗೆ ಸಹಾಯ ಮಾಡುತ್ತವೆ:

CSP Evaluator: ನಿಮ್ಮ CSPಯನ್ನು ವಿಶ್ಲೇಷಿಸಲು ಮತ್ತು ಮೌಲ್ಯಮಾಪನ ಮಾಡಲು ಒಂದು ಸಾಧನ.
CSP Generator: CSP ಹೆಡರ್‌ಗಳನ್ನು ರಚಿಸಲು ಒಂದು ಸಾಧನ.
ಬ್ರೌಸರ್ ಡೆವಲಪರ್ ಪರಿಕರಗಳು: ಹೆಚ್ಚಿನ ಬ್ರೌಸರ್‌ಗಳು ಅಂತರ್ನಿರ್ಮಿತ ಡೆವಲಪರ್ ಪರಿಕರಗಳನ್ನು ಹೊಂದಿದ್ದು, ಅದು ನಿಮಗೆ CSP ಉಲ್ಲಂಘನೆಗಳನ್ನು ಗುರುತಿಸಲು ಸಹಾಯ ಮಾಡುತ್ತದೆ.
Mozilla Observatory: CSP ಸೇರಿದಂತೆ ವೆಬ್‌ಸೈಟ್‌ಗಳಿಗೆ ಭದ್ರತಾ ಶಿಫಾರಸುಗಳನ್ನು ಒದಗಿಸುವ ವೆಬ್‌ಸೈಟ್.

ಸಾಮಾನ್ಯ ತಪ್ಪುಗಳು ಮತ್ತು ಅವುಗಳನ್ನು ತಪ್ಪಿಸುವುದು ಹೇಗೆ

CSPಯನ್ನು ಅನುಷ್ಠಾನಗೊಳಿಸುವುದು ಸವಾಲಿನದ್ದಾಗಿರಬಹುದು, ಮತ್ತು ತಪ್ಪಿಸಬೇಕಾದ ಹಲವಾರು ಸಾಮಾನ್ಯ ತಪ್ಪುಗಳಿವೆ:

ಅತಿಯಾದ ಅನುಮತಿ ನೀಡುವ ನೀತಿಗಳು: ವೈಲ್ಡ್‌ಕಾರ್ಡ್ ಅಕ್ಷರಗಳನ್ನು ಅಥವಾ 'unsafe-inline' ಮತ್ತು 'unsafe-eval' ಅನ್ನು ಸಂಪೂರ್ಣವಾಗಿ ಅಗತ್ಯವಿಲ್ಲದಿದ್ದರೆ ಬಳಸುವುದನ್ನು ತಪ್ಪಿಸಿ.
ತಪ್ಪಾದ ನಾನ್ಸ್/ಹ್ಯಾಶ್ ಉತ್ಪಾದನೆ: ನಿಮ್ಮ ನಾನ್ಸ್‌ಗಳು ಯಾದೃಚ್ಛಿಕ ಮತ್ತು ಅನನ್ಯವಾಗಿವೆಯೇ ಮತ್ತು ನಿಮ್ಮ ಹ್ಯಾಶ್‌ಗಳನ್ನು ಸರಿಯಾಗಿ ಲೆಕ್ಕಹಾಕಲಾಗಿದೆಯೇ ಎಂದು ಖಚಿತಪಡಿಸಿಕೊಳ್ಳಿ.
ಸಂಪೂರ್ಣವಾಗಿ ಪರೀಕ್ಷಿಸದಿರುವುದು: ಎಲ್ಲಾ ಸಂಪನ್ಮೂಲಗಳು ಸರಿಯಾಗಿ ಲೋಡ್ ಆಗುತ್ತಿವೆಯೇ ಎಂದು ಖಚಿತಪಡಿಸಿಕೊಳ್ಳಲು ಅದನ್ನು ಅನುಷ್ಠಾನಗೊಳಿಸಿದ ಅಥವಾ ನವೀಕರಿಸಿದ ನಂತರ ಯಾವಾಗಲೂ ನಿಮ್ಮ CSPಯನ್ನು ಪರೀಕ್ಷಿಸಿ.
CSP ವರದಿಗಳನ್ನು ನಿರ್ಲಕ್ಷಿಸುವುದು: ಯಾವುದೇ ಸಮಸ್ಯೆಗಳನ್ನು ಗುರುತಿಸಲು ಮತ್ತು ಸರಿಪಡಿಸಲು ನಿಮ್ಮ CSP ವರದಿಗಳನ್ನು ನಿಯಮಿತವಾಗಿ ಪರಿಶೀಲಿಸಿ ಮತ್ತು ವಿಶ್ಲೇಷಿಸಿ.
ಫ್ರೇಮ್‌ವರ್ಕ್ ನಿರ್ದಿಷ್ಟತೆಗಳನ್ನು ಪರಿಗಣಿಸದಿರುವುದು: ನೀವು ಬಳಸುತ್ತಿರುವ ಜಾವಾಸ್ಕ್ರಿಪ್ಟ್ ಫ್ರೇಮ್‌ವರ್ಕ್‌ಗಳ ನಿರ್ದಿಷ್ಟ ಅವಶ್ಯಕತೆಗಳು ಮತ್ತು ಮಿತಿಗಳನ್ನು ಗಣನೆಗೆ ತೆಗೆದುಕೊಳ್ಳಿ.

ತೀರ್ಮಾನ

ಕಂಟೆಂಟ್ ಸೆಕ್ಯುರಿಟಿ ಪಾಲಿಸಿ (CSP) ವೆಬ್ ಅಪ್ಲಿಕೇಶನ್ ಭದ್ರತೆಯನ್ನು ಹೆಚ್ಚಿಸಲು ಮತ್ತು XSS ದಾಳಿಗಳನ್ನು ತಗ್ಗಿಸಲು ಒಂದು ಪ್ರಬಲ ಸಾಧನವಾಗಿದೆ. ಎಚ್ಚರಿಕೆಯಿಂದ CSPಯನ್ನು ವ್ಯಾಖ್ಯಾನಿಸುವ ಮೂಲಕ ಮತ್ತು ಉತ್ತಮ ಅಭ್ಯಾಸಗಳನ್ನು ಅನುಸರಿಸುವ ಮೂಲಕ, ನೀವು ಕೋಡ್ ಇಂಜೆಕ್ಷನ್ ದುರ್ಬಲತೆಗಳ ಅಪಾಯವನ್ನು ಗಮನಾರ್ಹವಾಗಿ ಕಡಿಮೆ ಮಾಡಬಹುದು ಮತ್ತು ನಿಮ್ಮ ಬಳಕೆದಾರರನ್ನು ದುರುದ್ದೇಶಪೂರಿತ ವಿಷಯದಿಂದ ರಕ್ಷಿಸಬಹುದು. ರಿಪೋರ್ಟ್-ಓನ್ಲಿ ಪಾಲಿಸಿಯೊಂದಿಗೆ ಪ್ರಾರಂಭಿಸಲು, 'unsafe-inline' ಮತ್ತು 'unsafe-eval' ಅನ್ನು ತಪ್ಪಿಸಲು, ಮೂಲಗಳೊಂದಿಗೆ ನಿರ್ದಿಷ್ಟವಾಗಿರಲು, ಮತ್ತು ನಿಮ್ಮ CSPಯನ್ನು ನಿಯಮಿತವಾಗಿ ಪರಿಶೀಲಿಸಲು ಮತ್ತು ನವೀಕರಿಸಲು ಮರೆಯದಿರಿ. CSPಯನ್ನು ಪರಿಣಾಮಕಾರಿಯಾಗಿ ಅನುಷ್ಠಾನಗೊಳಿಸುವ ಮೂಲಕ, ನಿಮ್ಮ ಬಳಕೆದಾರರಿಗೆ ನೀವು ಹೆಚ್ಚು ಸುರಕ್ಷಿತ ಮತ್ತು ವಿಶ್ವಾಸಾರ್ಹ ವೆಬ್ ವಾತಾವರಣವನ್ನು ರಚಿಸಬಹುದು.

ಈ ಮಾರ್ಗದರ್ಶಿಯು ಜಾವಾಸ್ಕ್ರಿಪ್ಟ್‌ಗಾಗಿ CSP ಅನುಷ್ಠಾನದ ಸಮಗ್ರ ಅವಲೋಕನವನ್ನು ಒದಗಿಸಿದೆ. ವೆಬ್ ಭದ್ರತೆಯು ನಿರಂತರವಾಗಿ ವಿಕಸಿಸುತ್ತಿರುವ ಕ್ಷೇತ್ರವಾಗಿದೆ, ಆದ್ದರಿಂದ ಇತ್ತೀಚಿನ ಉತ್ತಮ ಅಭ್ಯಾಸಗಳು ಮತ್ತು ಭದ್ರತಾ ಮಾರ್ಗಸೂಚಿಗಳ ಬಗ್ಗೆ ಮಾಹಿತಿ ಹೊಂದಿರುವುದು ನಿರ್ಣಾಯಕವಾಗಿದೆ. ದೃಢವಾದ CSP ಅನ್ನು ಅನುಷ್ಠಾನಗೊಳಿಸುವ ಮೂಲಕ ಮತ್ತು ನಿಮ್ಮ ಬಳಕೆದಾರರನ್ನು ಸಂಭಾವ್ಯ ಬೆದರಿಕೆಗಳಿಂದ ರಕ್ಷಿಸುವ ಮೂಲಕ ಇಂದು ನಿಮ್ಮ ವೆಬ್ ಅಪ್ಲಿಕೇಶನ್ ಅನ್ನು ಸುರಕ್ಷಿತಗೊಳಿಸಿ.