Într-una din zilele trecute am aflat de Security Headers. Cum mi-am făcut un hobby din optimizarea paginilor web, am devenit instant curios de ceea ce s-ar putea îmbunătăți. Așa am ajuns la Content Security Policy (CSP).
Prin intermediul CSP se stabilesc ce resurse de pe site au voie browserele să afișeze. De exemplu, poți seta să fie afișate doar imaginile pe care le-ai încărcat (uploadat) la tine pe site. Celelalte rămân neîncărcate. Sau poți seta ca imaginile de pe anumite site-uri să poată fi afișate, iar restul nu.
Iar treaba aceasta poate fi făcută pentru toate resursele de pe site-ul tău. Imagini, scripts, stiluri, formulare, etc.
Deși e o măsură de securitate bună, e destul de dificil de configurat. Trebuie să știi exact ce fonturi, imagini și alte resurse ai pe blog, dar mai ales de unde se încarcă fiecare. Fonturile de pe Google Fonts, statisticile de pe Google Analytics și, eventual, WordPress. Clipurile de pe YouTube și așa mai departe. Iar toate acestea trebuie declarate în Politica de Securitate a Conținutului. Multă bătaie de cap pentru un moft.
Să zicem că te încăpățânezi și ajungi să ai A+. Atunci descoperi Observatory de la Mozilla (Google It!) și îți dai seama că mai ai de lucru până e totul perfect.
Nu mai bine așa cum e?
Daca ai tot ce inseamna elemente media gazduite local atunci nu e chiar asa de complicat de configurat pe frontend, insa problema de care m-am lovit eu a fost pe backend unde diverse functii de editare din WordPress folosesc elemente externe si au nevoie de alt tip de CSP. Pe frontend de bine de rau le mai scoti la capat, dar ca sa faci acelasi lucru pentru backend la un WordPress ar trebui sa rescrii codul si sa gazduiesti local toate elementele media externe.
Cu Google Analytics e mai complicat…