CSP

Content Security Policy

Stručně

HTTP header proti XSS útokům. Definuje, odkud se smí načítat scripts, styles, images.

Detail a kontext

CSP (Content Security Policy) je HTTP response header, který říká prohlížeči odkud má povoleno načítat resources (scripts, styles, images, fonts). Klíčová obrana proti XSS (Cross-Site Scripting). Příklad: Content-Security-Policy: default-src 'self'; script-src 'self' https://www.googletagmanager.com; říká: scripts jen z vlastní domény + GTM, ostatní bloknout. Levels: report-only mode (log violations, neblokuje — pro testing), enforce mode (block). Pro 2026 měl by mít každý web. Generátory: csp-evaluator.withgoogle.com, mozilla observatory. Nuance: inline scripts (např. GA, GTM bootstrapping) vyžadují nonce nebo 'unsafe-inline' (slabší security).

Související pojmy

SSL/TLS Secure Sockets Layer / Transport Layer Security

Šifrování komunikace mezi prohlížečem a serverem. Bez HTTPS Google penalizuje a prohlížeč varuje uži...

Zpět na slovník

Potřebujete pomoci s tímto pojmem v praxi?

Naučit se teorii je první krok. Implementovat ji efektivně už chce zkušenost. Pojďme se o tom pobavit.

Napište mi