Рубрика: Интернет-безопасность

Если вы когда‑нибудь ловили странные ошибки типа “Refused to load script… because of Content-Security-Policy”, значит вы уже сталкивались с CSP и его блоками. Часто это выглядит как магия: вчера всё грузилось, сегодня половина сайта “отвалилась”. На самом деле за этим стоит довольно понятная логика: браузер строго сверяет каждый скрипт, стиль, картинку и запрос с правилами…

Что такое Suborigins и зачем они вообще нужны Представьте классический сайт: один домен, один origin, куча функций — личный кабинет, админка, публичный блог, панель партнёров. Сейчас браузер видит всё это как одну зону доверия. Если злоумышленник нашёл XSS в блоге, он может теоретически добраться до куки авторизации админки или токенов API. Suborigins — это предложенный…

Зачем блогу вообще думать о Content Security Policy 3.0 Если у вас личный блог или контентный сайт, тема взломов обычно где‑то «на потом». Но статистика за последние годы говорит обратное. По сводным данным нескольких отраслевых отчётов за 2022–2024 годы, XSS и другие инъекционные атаки стабильно входят в топ‑3 причин компрометации веб‑ресурсов, занимая примерно 20–30% от…