Varsayılan JekCMS CSP, hem betikler hem de stiller için 'unsafe-inline' içeriyor. Bu kasıtlı: yönetim paneli çeşitli bileşenlerinde satır içi olay işleyicileri kullanıyor; varsayılan temalar performans nedeniyle kritik CSS'i satır içine gömuyor. Politikayı sıkılaştırmadan önce, siteyi sıkı bir CSP ile yalnızca raporlama modunda çalıştırıp ihlal raporlarını inceleyerek hem yönetim panelini hem de aktif temanızı denetleyin.

Yazı Tiplerini Kendi Sunucunuzda Barındırmak İki Direktifi Ortadan Kaldırır

Google Fonts'tan yüklenen yazı tipleri iki direktif gerektiriyor: font-src fonts.gstatic.com ve style-src fonts.googleapis.com. Hem gizlilik hem de performans açısından önerdiğimiz kendi sunucunda barındırma yöntemine geçerseniz her ikisini de 'self' ile değiştirebilir ve harici yazı tipi bağımlılıklarını tamamen kaldırabilirsiniz. JekCMS'in varsayılan Trends teması, Latin ve Türkçe karakter aralıklarını kapsayan kendi sunucusunda barındırılan Inter alt kümesiyle geliyor.

img-src İçin Açık Listeleme

img-src direktifi, içeriğinizin görsel yüklediği her harici etki alanını içermeli. Yaygın bir hata, herhangi bir HTTPS görsel kaynağına izin vermek için img-src https: ayarlamak — bu, görsel tabanlı saldırılara karşı CSP'nin büyük bölümünü işlevsiz kılıyor. Gerçek görsel kaynaklarınızı açıkça listeleyin: img-src 'self' cdn.siteniz.com data:. Dinamik kullanıcı içeriği barındıran siteler için harici etki alanı listesini düzenli aralıklarla gözden geçirme alışkanlığı edinin.

Her Zaman Yalnızca Raporlama Moduyla Başlayın

Zorunlu kılmadan önce yalnızca raporlama modunu deneyin: bir toplama uç noktasına işaret eden report-uri ile Content-Security-Policy-Report-Only ayarlayın. report-uri.com'un ücretsiz katmanı küçük siteler için iyi çalışıyor. Zorunlu kılma moduna geçmeden önce en az bir hafta boyunca ihlalleri toplayın; hafta sonu trafiği genellikle hafta içi izlemenin kaçırdığı kod yollarını çalıştırıyor. Yanlış yapılandırılmış bir CSP, sitenizi kullanan herkes için ciddi işlevsellik sorunlarına yol açabilir.