Sikkerhed
Introduktion
Sikkerhedspolitik for indhold (Content Security Policy eller CSP) er et ekstra lag af sikkerhed, der hjælper med at opdage og afbøde visse typer angreb, herunder Cross-Site Scripting (XSS) og data-injection-angreb. Disse angreb bruges til alt fra datatyveri til nedlægning af websteder og distribution af malware. CSP består af et sæt politikker, som hjælper med at styre de ressourcer som en hjemmeside (i dette tilfælde shoppen) må indlæse.
Advarsel: Forkert brug af denne funktion kan have alvorlige konsekvenser for din webshop. Du skal derfor sørge for, at have en solid baggrundsviden omkring emnet eller alliere dig med en konsulent. Opsætning af sikkerhedspolitik er ikke omfattet af vores support.
Opsætning
Med funktionen Sikkerhed får du mulighed for, at tilføje en sikkerhedspolitik via security headers i shoppen. I praksis betyder det, at der i shoppens header indsættets meta-tags, som herefter kan tilføjes indhold i form af din egen sikkerhedspolitik igennem shoppens administration.
Du kan læse mere om emnet og se eksempler på forskellige politikker her:
Du finder sektionen under Indstillinger > Shopindstillinger > Features:
Eksempel på en Permissions-Policy, der blokerer visning af medier i fuldscreen (Youtube mv.):
fullscreen=()
Eksempel på en Content-Security-Policy, som inkluderer standard- og eksterne scripts i shoppen:
script-src 'self' 'unsafe-inline' 'unsafe-eval' google.dk google.com *.google.com *.googletagmanager.com *.google-analytics.com www.googleadservices.com googleads.g.doubleclick.net www.gstatic.com facebook.com connect.facebook.net pricetag.viabill.com onpay.io;
Vigtigt: Ovenstående er eksempler på indhold og bør ikke kopieres eller tilpasses uden kendskab til funktionaliteten, da det kan have alvorlige konsekvenser for din webshop. Rådgivning og opsætning af Permissions-Policy og Content-Security-Policy er ikke omfattet af vores support.
Nyttige links
- Det er muligt, at teste sine security headers på observatory.mozilla.org
- Læs mere om emnet her
