Content-Security-Policy (CSP) là một công cụ mạnh mẽ giúp ngăn chặn các loại tấn công như Cross-Site Scripting (XSS) và Data Injection bằng cách cung cấp một cách để các trang web xác định nguồn nào (domains, endpoints) là đáng tin cậy cho việc tải các tài nguyên như JavaScript, CSS, hình ảnh, v.v.

Mặc định nukeviet sẽ tắt kích hoạt CSP nhưng người quản trị có thể bật tắt kích hoạt CSP

Khi kích hoạt CSP thì sẽ giúp tăng cường bảo mật và ngăn chặn các loại tấn công, đặc biệt là Cross-Site Scripting (XSS)

Các chỉ thị khi kích hoặt csp được bật:

default-src: Chỉ định chính sách mặc định cho các loại tài nguyên không được chỉ định bởi các chỉ thị riêng lẻ.

script-src: Chỉ thị script-src chỉ định các nguồn hợp lệ cho JavaScript. Chỉ thị này sẽ trở lại default-src nếu không được chỉ định. Khi có script-src hoặc default-src, việc sử dụng tập lệnh nội tuyến và eval() bị chặn trừ khi bạn chỉ định 'unsafe-inline' và 'unsafe-eval'.

style-src: Chỉ thị style-src chỉ định các nguồn hợp lệ cho các stylesheets. Chỉ thị này sẽ trở lại default-src nếu không được chỉ định. Khi có style-src hoặc default-src, việc sử dụng các phần tử <style> nội tuyến và thuộc tính HTML style=“…” bị tắt trừ khi bạn chỉ định 'unsafe-inline'.