Содержание
классификация, выбор и сферы применения
В частном домостроении выбор между деревом и камнем – самый принципиальный вопрос перед началом работ. Оба материала имеют свои плюсы и минусы. Что будет, если объединить полезные свойства цемента и древесины в одном материале? Получится ЦСП (цементно-стружечная плита). О ней и пойдет речь в этой статье: мы постараемся разобраться в том, какие бывают разновидности и как проще выбрать ЦСП.
Материал представляет собой симбиоз древесины и цемента. В отличие от других древесностружечных плит в ЦСП не содержится никаких синтетических смол, главной связующей составляющей является цемент. Используют цемент с маркой прочности M500. Древесная стружка сортируется по фракциям и стабилизируется. Также в изделие добавляются химические препараты (сульфат алюминия, силикат натрия), которые предотвращают процесс гниения древесных ингредиентов и исключают негативное влияние стружечной составляющей на цемент. Все ингредиенты перемешиваются с добавлением воды в промышленном миксере. Затем изделия формуются и прессуются сухим методом с использованием сжатого воздуха.
По сравнению с другими древесными плитам ЦСП имеет ряд особенностей.
- Экологичность – материал не содержит никаких синтетических смол, которые содержатся ДСП, ОСП или ДВП. Поэтому тем, кто обеспокоен содержание формальдегида в композитных изделиях, стоит обратить внимание на ЦСП.
- Высокая устойчивость – цементно-стружечные плиты обладают высокой износостойкостью и влагостойкостью. Они меньше впитывают влагу, чем другие древесно-композитные изделия, при этом сохраняют общую форму – не разбухают.
- Прочность позволяет использовать ЦСП в качестве конструкционного материала, цементные плиты превосходят другие композитные аналоги, такие как фибролит и ОСП (ориентированно-стружечная плита).
Каркасный дом со стенами из ЦСП
Ориентированно-стружечная плита – композитный материал, состоящий из больших кусков щепы, которые располагаются слоями и прессуются в монолитные плиты. Связующим элементом выступают формальдегидные смолы. Изделия чувствительны к влаге и легко деформируются под её воздействием. ЦСП может стать прекрасной альтернативой ОСП при строительстве каркасных домов.
- Пожарная безопасность – еще один плюс «в копилку» ЦСП, в составе плит нет смол и клея, которые при воздействии огня будут гореть и генерировать большое количество дыма. Портландцемент, который чаще всего используется для производства, не поддерживает процесс горения. По классу материал относится к слабогорючим веществам (Г1).
- Биологическая устойчивость – цемент не является благоприятной средой для размножения грибков и насекомых, поэтому эта напасть, свойственная некоторым разновидностям деревянных домов, обходит дома из ЦСП стороной.
- Хорошая адгезия с отделочными материалами – цементно-стружечная плита хорошо поддается отделке, штукатурке. Листы отличаются хорошим сцеплением с наносимой отделкой.
Говоря о достоинствах, нельзя не упомянуть и о недостатках цементных плит. Часто выбор в пользу ОСБ при каркасном строительстве делают по причине того, что ЦСП дороже. Еще один существенный минус – большой вес. Работать в одиночку при производстве отделочных работ с цементно-стружечными изделиями тяжело. Также значительный вес затрудняет и транспортировку изделий. Определенные сложности вызывает раскройка, так как во время этого процесса выделяется большое количество цементной пыли.
Раскройка ЦСП осуществляется болгаркой с алмазным диском
Согласно государственным стандартам ЦСП подразделяется на две марки в зависимости от качества изделий. При этом основные физико-технические параметры не отличаются. По ГОСТу плотность обоих марок должна составлять 1100 – 1400 кг/м.куб. По стандарту допускается несколько типоразмеров. По длине это 3200 и 3600 мм, по ширине – 1200 и 1250 мм. Выпуск других размерностей допускается по согласованию с конечным потребителем.
Еще один немаловажный параметр – влагостойкость. Она состоит из базовой влажности и влагопоглощения, т.е. количества воды относительно общего объема, которое изделие может впитать в себя. Базовая влажность для обоих марок изделия должна составлять от 6 до 12%. Влагопоглощение по стандартам должно составлять не более 16%, при этом изменение толщины (разбухание) не может превышать 1,5 %, тогда как у некоторых разновидностей древесных плит этот показатель может превышать 20 %
Теперь от общих моментов надо перейти к различиям.
- ЦСП-1 – имеют более ровную поверхность, для этой марки отклонения от плоскости плиты допускаются всего на 0,8 мм, пятна масла и сколы кромок не допускаются. На поверхности может присутствовать не более одной вмятины глубиной до 1 мм. Допустимая прочность на изгиб зависит от толщины листа и не может быть меньше 12 МПа для ЦСП толщиной 12 мм, для листов более 19 мм допустимая прочность на изгиб составляет 9 МПа.
- ЦСП-2 рассчитаны на меньшую прочность на изгиб. Для плиты 12 мм этот показатель должен составлять не меньше 9 МПа, для плиты более 19 мм – 7 МПа. Также эта марка имеет большее количество дефектов. Например, на поверхности могут оказаться пятна от масла и ржавчины, на поверхности могут быть вмятины глубиной более 2 мм (максимальное допустимое количество — 3 штуки).
Некоторые материалы часто называют разновидностями ЦСП, хотя при этом они таковыми не являются. Просто эти изделия очень похожи по способу производства, структуре и свойствам.
Фибролит – цементно-волокнистый материал, в производстве используется длинное древесное волокно, которое формирует плиты. Фибролит обладает низкой теплопроводностью, огнеупорностью и используется для утепления. ЦСП значительно превосходит его по плотности и прочности.
Арболит изготавливается из смеси стружки, опилок и щепы с цементом. Материал используется не только как теплоизоляция, но и для возведения, стен и перегородок. Арболит выпускает в виде блоков, плит или перекрытий.
Стены из арболитовых плит хорошо сохраняют тепло благодаря низкой теплопроводности
Ксилолит изготавливается на основе стружки и легких бетонов. Основная сфера применения – наливные бесшовные полы и перегородки.
ЦСП используется в качестве теплоизолирующего, отделочного и конструкционного материала, поэтому область применения достаточно обширна.
- Строительство каркасного дома – цементные плиты используются для возведения каркасных домов. В этой роли они заменяют собой более дешевые, но менее влагостойкие, ориентированно-стружечные плиты. ЦСП служат для придания жесткости каркасу и создания силового корпуса дома. Расстояние между стойками должно составлять не более 60 см. Плиты позволяют сформировать «пирог» каркасного дома, который состоит из нескольких слоев обрешетки, стоек, теплоизоляции, пароизоляции и ветрозащиты. С внешней стороны дома облицовывается сайдингом или штукатурится. Для стен обычно используются листы толщиной 12 – 18 мм.
Обшивка каркаса дома цементно-стружечными плитами
- Черновая отделка стен – в данном случае изделия из цемента и стружки используются для выравнивания поверхности стенового покрытия. Материал хорошо подходит для последующей окраски или оклейки обоев. В этом случае лучше выбирать изделия первого сорта, при способах отделки, когда внешняя сторона листов будет закрыта другим материалом используются изделия марки ЦСП-2.
Стена, отделанная листами ЦСП
- Кровельные работы – цементно-стружечные изделия используются для создания основания под мягкую кровлю. Листы укладываются на обрешетку или стропильную систему. При этом толщину листов следует выбирать на основе шага стропил. Чаще всего используются листы толщиной от 16 до 24 мм.
- Черновые полы также можно сделать с помощью цементно-стружечных плит, они обеспечивают тепло и звукоизоляцию. Монтаж производится на лаги или бетонную стяжку. Такое покрытие чаще всего служит для выравнивания поверхности перед укладкой чистового пола. Внешний вид материала не играет особой роли, так как он будет скрыт под ламинатом или паркетом, поэтому можно воспользоваться маркой ЦСП-2. При этом важно правильно подобрать толщину листа, которая при монтаже прямо на бетон может составлять 18 – 20 мм. При монтаже на систему лаг влияет расстояние между брусками. Для промежутков 60 см оптимально использовать плиты 20 – 26 мм.
Укладка чернового пола на систему лаг
ЦСП обладает высокой влагостойкостью и может находится в земле длительное время, это свойство используют для создания временных полов прямо на земле. Такие покрытия используются для размещения стройматериалов и для временных построек.
- Внутренние перегородки позволяют разграничить внутреннее пространство в доме на комнаты. Благодаря хорошей влагостойкости материал может использоваться, чтобы разбить совмещенный санузел на два помещения (ванную комнату и туалет). Если в качестве отделки планируется окрашивание, то лучше выбрать марку материала с наименьшим количеством внешних дефектов (ЦСП-1).
Перегородка имеет сложную структуру, каркас выполнен из оцинкованного профиля, в качестве утеплителя и теплоизолятора используется минеральная вата. ЦСП выступает в роли элемента, который придает конструкции необходимую прочность
- Несъемная опалубка – для заливки фундамента или других архитектурных форм бетоном могут использоваться ЦСП, они обладают хорошей износостойкостью и переносят повышенную влажность, при этом изделия не деформируются, поэтому они не снимаются при застывании бетона и выполняют формообразующую функцию для различных конструкционных элементов. Например, цементно-стружечные плиты подойдут для создания колонн. По сравнению с использованием других древесных плит (фанеры, ОСП) материал практически не меняет своей геометрии и не разбухает.
Опалубка из цементно-стружечных плит
- Подоконники также могут делаться из небольших цементно-стружечных плит. Для этого можно использовать плиты более 10 см в толщину.
- Отделка дверей – благодаря влагостойким свойствам материал может использоваться для отделки внешних дверей. Например, цементно-стружечные изделия применяются для повышения звуко и теплоизоляции балконных дверей. К тому же материал позволяет существенно повысить огнеупорные свойства конструкции.
- Обустройство дачного участка – ЦСП используется для возведения заборов и ограждений. Материал не деформируется от контакта с землей, поэтому его можно использовать для создания грядок. Также цементные плиты подойдут для возведения подсобных помещений для хранения инструментов и садового инвентаря.
Грядки из цементно-стружечных плит
ЦСП представляет собой хорошую альтернативу привычным древесным плитам на основе дерева и синтетических смол. Материал обладает высокой влагостойкостью и при этом безвреден для человека. Цементно-стружечные плиты одинаково хорошо подходят для внутренней и внешней отделки, а также для вспомогательных работ.
технические характеристики, свойства, описание, использование, применение, плюсы и минусы
- Стройматериалы и стены,
- Проектирование и строительство
В современном строительстве все чаще используются технологии «сухого монтажа», позволяющие значительно повысить качество расходных материалов и работ в целом. Именно поэтому, сегодня одним из часто используемых материалов являются цементно-стружечные плиты (ЦСП), о которых поведает вам наша статья.
Цементно-стружечные плиты производятся из весьма распространенных компонентов, а именно: цемента, стружки (отходов при обработке древесины), воды и сульфата алюминия, известного как жидкое стекло. Цементно-стружечные плиты имеют однородную структуру: плотно спрессованная древесная стружку, залитая цементным раствором. Внутри плиты находится твердый сердечник, на который нанесены менее крепкие последующие слои. Их поверхность бывает как гладкой, так и фактурной.
Этот строительный материал имеет ряд преимуществ, позволяющих применять его во множестве конструкций. К достоинствам ЦСП относятся:
- небольшая цена
- высокая прочность
- отличная влаго-, морозо- и огнестойкость (особенно значительная при обработке ЦСП специальными составами)
- повышенная звукоизоляция
- экологичность, выражающаяся в отсутствии в составе вредных компонентов
- простота обработки
- точность геометрических размеров
- возможность различных видов отделки поверхности (окраска, оштукатуривание, оклеивание обоями или керамической плиткой)
- защищенность от атак грызунов, грибков и насекомых.
Как видно, ЦСП вобрали в себя лучшие качественные свойства ДСП, цемента, гипсокартона и других строительных материалов. Но, как известно, нет ничего идеального. У цементно-стружечных плит есть свой существенный недостаток, заключающийся в весьма ограниченном сроке службы: в условиях жёсткой эксплуатации он не превышает 15 лет.
Области применения
Совокупность большого количества отличных свойств, которыми обладает ЦСП, делают область использования этого материала практически неограниченной. Вместить весь перечень возможных вариантов применения в одну статью невозможно, поэтому мы лишь кратко опишем возможные варианты.
Во-первых, цементно-стружечные плиты активно используются при сборке многих конструкций, таких как:
- сборные жилые дома
- промышленные ангары
- заборы
- полы
- огнестойкие двери
- пешеходные дорожки
- звукоизоляционные и огнестойкие перегородки
- столешницы и т.д.
Во-вторых, их часто применяют в облицовочных работах. Это может быть:
- внешняя и внутренняя отделка домов
- обшивка стен и потолков помещений
Кроме того, ЦСП часто применяют при различных восстановительных работах, требующих быстрого и качественного выполнения.
Обработка ЦСП
Как уже отмечалось, цементно-стружечные плиты достаточно легко обрабатываются и хорошо поддаются резке, сверлению, шлифованию. Желательно такие операции проводить в специализированных мастерских, но и в домашних условиях при наличии простых инструментов можно легко решить эту задачу. С резкой ЦСП справится обычная болгарка, нужно лишь учесть, что большого количества пыли не избежать. Сверление также осуществляется без особых проблем, особенно если применять сверла с победитовым наконечником. Шлифовку плиты можно провести шлифовальной машинкой, а если площадь необходимой обработки небольшая, вручную — наждачной бумагой.
В итоге можно сказать, что цементно-стружечные плиты — это отличное решение для тех, кто желает провести ремонт или строительство быстро, качественно и недорого.
плитыцементматериалыстроительство
Что такое политика безопасности контента (CSP) и почему это важно?
Доверие — это основная валюта Интернета. Вы доверяете своему поставщику услуг, что он продолжит поддерживать ваш доступ в Интернет. Ваши разработчики доверяют вашему поставщику архитектуры, когда они говорят, что ваши серверы останутся в рабочем состоянии. Клиенты уверены, что вы надежно защищаете свои данные. Они также верят, что когда они посещают ваш сайт, они видят то, что вы хотите, чтобы они видели.
Распространенным вектором атаки на общедоступные веб-сайты является внедрение контента, который утверждает, что он с этого веб-сайта. На самом деле это контент, размещенный в другом месте. После того, как он загружен и запущен на компьютере клиента, он, вероятно, каким-то образом использует его преимущества. Эти злоумышленники могут использовать XSS-атаки, внедряя вредоносные iFrames или Clickjacking.
Очевидно, что подобные атаки подрывают доверие клиентов к вашей организации. Эти атаки часто сбивают их с толку, что приводит к отказу от корзины покупок или увеличению количества обращений в службу поддержки. Денежные затраты на эти атаки оказывают реальное влияние на ваш бизнес.
Чем может помочь политика безопасности содержимого?
К счастью, есть инструмент, который ваша команда может использовать для предотвращения подобных атак. Известная как политика безопасности контента, это механизм, встроенный непосредственно в веб-браузеры, который ограничивает действия браузера на вашем веб-сайте.
Если на вашем веб-сайте есть политика безопасности контента, браузер проверяет каждый элемент, запрашиваемый HTML-кодом веб-сайта. Если CSP не разрешает источник изображения, браузер не загружает его. Если CSP блокирует источник сценария, браузер не выполняет его. Вы определяете список правил, и все, что не соответствует этому списку правил, удаляется до того, как попадет на компьютер пользователя.
Очевидно, что такая защита является мощным сдерживающим фактором против атак, наносящих ущерб веб-сайтам. Вместо того, чтобы раздражаться всплывающими окнами или раскрывать свои учетные данные злоумышленнику, ваши клиенты получают то, что вы хотели.
Использование CSP для предотвращения перехвата пакетов
Одним из необычных преимуществ политики безопасности контента является то, что вы можете заставить браузер шифровать связь с вашим сервером. Хотя вы можете предоставить конечную точку HTTPS для своих пользователей, некоторые браузеры не будут подключаться к HTTPS по умолчанию. Другие по-прежнему будут подключаться к HTTP, даже если HTTPS используется по умолчанию. Используя политику безопасности контента, ваша команда может определить приемлемые способы подключения к вашему серверу. Если вы ограничите допустимые каналы связи зашифрованными, вы можете обеспечить безопасность своего общения с пользователями. Безопасная связь — еще один важный элемент обеспечения доверия клиентов к вашему веб-сайту. Более того, они являются важной частью, которая поможет вам убедиться, что вы можете доверять своим клиентам.
Применение стандартов шифрования с помощью CSP распространяется не только на связь. Используя стандартные директивы CSP, вы можете гарантировать, что браузер также будет шифровать такие вещи, как файлы cookie, когда они хранятся на компьютере пользователя. Сообразительные злоумышленники, которые получают доступ к компьютеру пользователя, обычно проверяют сохраненные файлы cookie, чтобы найти такие вещи, как сохраненные пароли, идентификаторы пользователей или идентификаторы сеансов. Шифрование ваших файлов cookie не позволяет этим пользователям сокращать распространенные атаки ATO.
Как настроить политику безопасности содержимого?
Установить политику безопасности контента для вашего веб-сервера невероятно просто. Это легко сделать в ASP.NET MVC, Ruby on Rails или Django. Если вы программируете на другом языке или фреймворке, короткий поиск в Google, скорее всего, приведет к краткому руководству о том, как настроить его в вашем рабочем процессе. Если в вашем языке программирования приложений нет простого ответа, его также довольно просто настроить в Apache или Nginx.
Вполне вероятно, что реальная проблема настройки политики безопасности контента не будет технической. Технически это всего несколько строк кода.
Вместо этого реальная проблема настройки политики безопасности контента, скорее всего, будет заключаться в каталогизации всего контента, предоставляемого вашим веб-сайтом. Современные веб-сайты включают множество скриптов и таблиц стилей. Часто они поступают из разных источников, многие из которых могут не принадлежать вашему веб-сайту. * data: blob: ‘self’;script-src *.facebook.com *.fbcdn.net *.facebook.net *.google-analytics.com *.virtualearth.net *.google.com 127.0.0.1:* * .spotilocal.com: * ‘unsafe-inline’ ‘unsafe-eval’ blob: data: ‘self’; данные style-src: blob: ‘unsafe-inline’ *; connect-src *.facebook.com facebook.com * .fbcdn.net *.facebook.net *.spotilocal.com:* wss://*.facebook.com:* https://fb.scanandcleanlocal.com:* attachment.fbsbx.com ws://localhost:* blob: *.cdninstagram.com «я» расширение chrome://boadgeojelhgndaghljhdicfkmllpafd chrome-extension://dliochdbjfkdbacpmhlcpmleaejidimm https://api.mapbox.com https://*.tiles.mapbox.com https://services. digitalglobe.com; заблокировать весь смешанный контент; небезопасные запросы на обновление;
Вы заметите, что Facebook разрешает использовать изображения и скрипты из различных источников, кроме facebook.com. Инженеры Facebook должны определить, какие источники являются безопасными, и определить те, которые входят в их CSP. Это тяжелая работа по добавлению CSP на ваш сайт.
Как я могу убедиться, что мой CSP не нарушит мой сайт?
Как мы отмечали выше, нарушение политики безопасности контента имеет серьезные побочные эффекты. Ваш сайт полностью ломается. Вы оставляете своих пользователей в дураках. Эти негативные побочные эффекты отпугивают некоторые компании. Они отправляют одну плохую политику безопасности контента, веб-сайт ломается, и они выплескивают ребенка вместе с водой. Очевидно, это не мудрая тактика. К счастью, в браузерах есть еще один встроенный инструмент, который гарантирует, что ваш сайт не сломается при включении CSP. Это директива Report Only.
Директива Report Only делает именно то, что говорит. Вместо того, чтобы останавливать работу некоторых частей вашего веб-сайта, браузер регистрирует ошибки в консоли браузера. Добавив директиву «Только отчет», ваша команда сможет отслеживать каждое нарушение политики безопасности контента и исправлять их одно за другим. Если вы не являетесь старшим руководителем своей организации, эта директива может реально спасти вам жизнь. Вместо развертывания обновления, которое переводит ваш веб-сайт в автономный режим, вы можете убедиться в отсутствии проблем, прежде чем включать CSP.
Как убедиться, что мой CSP действительно полезен?
Важно убедиться, что когда ваша команда добавляет CSP на свой веб-сайт, вы выполняете полезную работу. Чтобы быть полезным, вам необходимо как правильно настроить CSP, так и поддерживать его. После того, как ваш CSP создан, вам необходимо отслеживать и поддерживать его при каждом изменении вашего веб-сайта — будь то новые активы, новые инструменты отслеживания, новые рекламные платформы и т. д. Крайне важно внедрить решение, обеспечивающее актуальность вашего CSP и позволяющее добавлять или удалять активы по мере изменения вашего веб-сайта.
Давайте рассмотрим некоторые из наиболее распространенных заголовков CSP и то, что делает каждый из них, чтобы вы знали, какие из них вам понадобятся на вашем сайте.
- default-src : Это универсальный заголовок, который указывает, откуда могут поступать элементы. Это применимо только к атрибутам, для которых вы не устанавливаете конкретное значение. Часто вы хотите установить это на «я». Этот параметр запрещает загрузку элементов из внешних источников, если вы специально не разрешите их с другими заголовками.
- сценарий-источник : Список допустимых исходных расположений для загрузки скриптов на стороне клиента. Правильное определение этого списка является большим повышением безопасности для ваших клиентов.
- img-src : Список допустимых источников изображений.
- media-src : список допустимых исходных расположений для мультимедиа, например видео и аудио.
- object-src : Список допустимых исходных мест для плагинов. Если ваш веб-сайт специально не предназначен для использования устаревших апплетов, таких как апплеты для Internet Explorer 6, следует установить значение «Нет».
- manifest-src : список допустимых исходных расположений для веб-манифестов. Веб-манифесты используются пользователями прогрессивных веб-приложений для загрузки веб-сайтов и их запуска как нативных мобильных приложений.
- фрейм-предки : список допустимых URL-адресов, которые этот веб-сайт может загружать в iFrame.
- form-action : Список допустимых целевых URL-адресов, куда веб-сайт может отправлять данные формы. Скорее всего, вы хотите установить для этого значения значение «я», поскольку большинство веб-сайтов отправляют данные формы только локально. Это свойство не покрывается default-src выше, поэтому убедитесь, что вы установили его.
- типы подключаемых модулей : список типов подключаемых модулей, которые можно загрузить из местоположений в object-src . Вероятно, вы также хотите установить для этого параметра значение «none».
- base-uri : список URL-адресов, которые можно использовать в базовых тегах HTML на вашем сайте.
CSP — это привратник для вашего веб-сайта
Это самый простой способ описать политику безопасности контента. Он действует как привратник для вашего сайта. Хороший CSP ограничивает, откуда могут поступать данные на ваш сайт и какие сценарии могут выполняться. Настройка и поддержание хорошей безопасности контента может потребовать немного усилий, особенно если ваш сайт находится в сети какое-то время или изменяется с какой-либо частотой. Это время окупается, будь то за счет ручных усилий или хороших инструментов, благодаря доверию ваших клиентов и сэкономленному времени на устранении проблем с безопасностью веб-сайта. Если ваша команда рассматривала возможность добавления CSP на свой сайт, они являются мощным инструментом для защиты от XSS и кликджекинга, добавляя дополнительный уровень защиты и улучшая общее состояние безопасности вашего сайта.
—
Эрик Бурсма написал это сообщение . Эрик — разработчик программного обеспечения и менеджер по развитию, который занимался всем: от ИТ-безопасности в фармацевтике до написания интеллектуального программного обеспечения для правительства США и создания международных групп разработчиков для некоммерческих организаций. Он любит говорить о вещах, которые он узнал на этом пути, и ему также нравится слушать и учиться у других.
Получите свою двухнедельную дозу безопасности
Отборный контент по безопасности для разработчиков, DevOps и безопасности. Без спама. Просто потрясающий контент.
Связанные теги
- Политика безопасности контента,
- csp
Что такое политика безопасности содержимого (CSP) | Примеры заголовков
Что такое политика безопасности контента?
Политика защиты содержимого (CSP) — это стандарт безопасности, обеспечивающий дополнительный уровень защиты от межсайтового скриптинга (XSS), кликджекинга и других атак путем внедрения кода. Это защитная мера против любых атак, основанных на выполнении вредоносного контента в доверенном веб-контексте или других попытках обойти политику того же источника.
С помощью CSP вы можете ограничить, какие источники данных разрешены веб-приложением, определив соответствующую директиву CSP в заголовке ответа HTTP.
Политика безопасности содержимого оценивает и блокирует запросы на активы
Почему важна политика безопасности содержимого?
Смягчение межсайтовых сценариев
Основная цель CSP — смягчить и обнаружить атаки XSS. XSS-атаки используют доверие браузера к контенту, полученному с сервера. Браузер жертвы подвергается выполнению вредоносных скриптов, потому что браузер доверяет источнику контента.
CSP позволяет администраторам серверов уменьшать или устранять возможность злоумышленника запускать XSS, указывая, какие домены Интернета браузеры должны рассматривать как законные источники исполняемых сценариев. CSP-совместимые браузеры запускают только сценарии, содержащие исходные файлы, полученные из доменов из белого списка, и игнорируют все остальные сценарии (включая встроенный сценарий и атрибуты обработки событий HTML).
Предотвращение перехвата пакетов и принудительное использование HTTPS
Помимо внесения в белый список доменов, из которых браузер может загружать контент, серверы также могут указывать разрешенные протоколы. Например, сервер может указать, что браузеры должны загружать контент через HTTPS.
Комплексная политика защиты передачи данных включает не только реализацию HTTPS при передаче данных, но и пометку всех файлов cookie атрибутом безопасности и автоматическое перенаправление страниц HTTP на HTTPS. Кроме того, сайты могут использовать заголовки HTTP Strict-Transport-Security, чтобы браузеры подключались к сайту только через зашифрованные каналы.
Примеры заголовков CSP
Веб-сервер может добавлять в каждый ответ HTTP-заголовок Content-Security-Policy. В заголовке CSP можно установить следующие свойства:
- default-src — необязательный метод, если другие атрибуты не определены. В большинстве случаев значение этого свойства равнозначно тому, что браузер может загружать ресурсы только с текущего веб-сайта.
- script-src — местоположения, из которых можно загружать внешние скрипты. Если ваш веб-сайт или приложение не использует сценарии на стороне клиента, установите значение none.
- img-src — местоположения, из которых можно получить изображения.
- медиа-источник — места, из которых можно извлечь мультимедийные материалы, такие как видео.
- object-src — места, из которых можно получить плагины.
- manifest-src — местоположения, из которых можно получить манифесты приложений.
- фрейм-предки — места, из которых можно загрузить другую веб-страницу с помощью фрейма, iframe, объекта, встраивания или элемента апплета.
- form-action — URL-адреса, которые можно использовать как часть действия в теге
- plugin-types — набор подключаемых модулей, которые можно вызывать через объекты, встраивания или апплеты, определенные с использованием типов MIME.
- base-uri — разрешает URL-адреса в атрибуте src любого тега.
См. полный и актуальный список свойств от Mozilla.
Какие уязвимости может предотвратить CSP?
Одна из основных проблем, которую CSP может предотвратить, заключается в том, что злоумышленники могут попытаться получить доступ к вашим ресурсам по незащищенному протоколу.
Вы можете использовать CSP для принудительного применения протокола HTTPS к любому значению, определенному в атрибутах *-src, добавив префикс https:// к любому URL-адресу в вашем белом списке. Таким образом, ресурсы никогда не будут загружаться через незашифрованное HTTP-соединение. Вы можете добиться того же эффекта, добавив свойство block-all-mixed-content.
Кроме того, CSP может предотвратить следующие распространенные уязвимости:
- Неподписанные встроенные операторы CSS в тегах