Почему это риск
Без CSP злоумышленник, нашедший XSS-уязвимость, может выполнить произвольный JavaScript в контексте вашего сайта: украсть cookie сессии, перенаправить пользователя, показать фейковую форму логина, exfiltrate данные. CSP — вторая линия защиты, работающая даже при наличии XSS.
Как исправить
Добавьте заголовок в конфигурацию веб-сервера или приложения
Начните с permissive политики для аудита: Content-Security-Policy-Report-Only: default-src 'self'; report-uri /csp-report
Изучите отчёты CSP-нарушений и найдите все внешние источники
Создайте строгую политику: Content-Security-Policy: default-src 'self'; script-src 'self' 'nonce-...'; style-src 'self' 'unsafe-inline'
Для nginx: add_header Content-Security-Policy "default-src 'self'..." always;
Для Apache: Header always set Content-Security-Policy "default-src 'self'..."
Проверьте в браузере: DevTools → Network → ответные заголовки
Как AuditGuard обнаруживает проблему
AuditGuard делает HTTP-запрос к главной странице и проверяет наличие заголовка Content-Security-Policy в ответе. Анализирует значение на наличие unsafe-inline, unsafe-eval без нонсов, wildcard-источников.