Yazılım

Laravel Uygulamamızda İçerik Güvenlik Politikası (CSP) Nasıl Uygulandı

teknomers
teknomers

Laravel Uygulamanızda Content Security Policy (CSP) Nasıl Eklenir

<p>Bir güvenlik denetim raporumuzda bizi durduran bir cümle vardı:</p>

<blockquote>
    <p><em>"Uygulama Content-Security-Policy başlıklarını uygulamıyor. XSS yükleri kısıtlama olmaksızın çalıştırıldı."</em></p>
</blockquote>

<p>Birçok standart Laravel güvenlik önlemleri uygulamıştık; Sanctum, CSRF jetonları, giriş doğrulama gibi. Ama CSP'miz yoktu. Ve bunun eksikliği, bir XSS saldırısının oturum çerezlerini çıkarmasına, kötü niyetli betikler enjekte etmesine veya kullanıcıları saldırganın kontrolündeki sayfalara sessizce yönlendirmesine neden olabilecekti — hepsi kendi domainimizden.</p>

<p>Bu makale, üretim ortamında bir Laravel uygulamasına CSP’yi nasıl eklediğimizi, bir ihlal raporlama hattı kurduğumuzu ve bu süreçte bilmediğimiz şeyleri ele alıyor.</p>

<hr/>

<h2>İçindekiler</h2>
<p>Bu makale, nereden başlarsanız başlayın size faydalı olacak şekilde yazılmıştır.</p>

<hr/>

<h2>Content Security Policy Nedir?</h2>

<p>Bir tarayıcı bir sayfayı yüklediğinde, sayfadaki tüm JavaScript, stil, font ve görselleri çalıştırır — nereden geldikleri önemli değildir. Bu durum XSS'nin tehlikeli olmasını sağlıyor: bir saldırgan, HTML'nize bir <code><script/></code> etiketi enjekte ederse, tarayıcı bunu sorgusuz sualsiz çalıştırıyor.</p>

<p>CSP (Content Security Policy), bu durumu değiştiren bir HTTP yanıt başlığıdır. Bu başlık tarayıcıya <em>"Bu belirli kaynaklardan gelen içeriklere güven. Aksi takdirde, engelle."</em> der.</p>

<div class="highlight js-code-highlight">
    <pre class="highlight http"><code>Content-Security-Policy: default-src 'self'; script-src 'self' 'nonce-abc123'; object-src 'none'</code></pre>
</div>

<p>Bu başlık eklendiğinde, bir saldırgan bir <code><script/></code> etiketi enjekte ettiğinde tarayıcı bunu çalıştırmayı reddeder. Etiket, geçerli bir <strong>nonce</strong>'a sahip değildir — yani her istek için yeni üretilmiş bir kriptografik rastgele tokendir. Eşleşen nonce'a sahip betikler çalıştırılır. Diğer her şey engellenir.</p>

<blockquote>
    <p><strong>Yeniyseniz?</strong> MDN, CSP ile ilgili herhangi bir özel yönerge hakkında derinlemesine bilgi için <a href="https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Content-Security-Policy" target="_blank" rel="noopener noreferrer">kesin CSP referansını</a> sunuyor.</p>
</blockquote>

<hr/>

<h2>Nonce Nedir?</h2>

<p>Bu yazıda "nonce" kelimesini sıkça göreceksiniz, bu yüzden herhangi bir kod yazmadan önce bunu netleştirelim.</p>

<p>A <strong>nonce</strong> (ilk olarak <em>bir kez kullanılan sayı</em> anlamına gelir), her sayfa yüklemesi için taze üretilmiş rastgele bir dizedir. Sunucu, bu nonce'u CSP başlığına ekler ve güvenilir olduğu her <code><script/></code> veya <code/> bloğuna damgalar.</p>

<div class="highlight js-code-highlight">
    <pre class="highlight javascript"><code>// HTTP başlığında, sunucu şunu gönderir:

Content-Security-Policy: script-src ‘nonce-k8Hv2mXpQ3’

// HTML’deki script etiketinde:

<p>Tarayıcı her iki tarafı da görür, onları kontrol eder ve betiği çalıştırır. Eğer bir saldırgan bir <code><script/></code> etiketi enjekte ederse, bunun nonce’u yoktur — ya da yanlış bir nonce’a sahiptir — bu yüzden engellenir. Nonce her istekle değiştiğinden, bir saldırgan bir şekilde dünün nonce'una erişse bile, bunu bugün yeniden kullanamaz.</p>

<p><strong>Neden statik bir gizli anahtar kullanmıyorsunuz?</strong> Çünkü statik bir değer önbelleğe alınabilir, loglara sızabilir veya kaynak kodunuzdan çıkarılabilir. Bir nonce sadece bir isteği sürdürebilir. O zamandan sonra, değersizdir.</p>

<p><strong>Nonce nedir değil:</strong></p>
<ul>
    <li>Giriş sanitizasyonunun yerini tutmaz. Bir nonce, enjekte edilen betiklerin <em>çalıştırılmasını</em> durdurur. Ancak bunların <em>veritabanınıza kaydedilmesini</em> engellemez.</li>
    <li>Şifreleme değildir. Sayfa kaynaklarını görebilen herkes nonce'u görebilir — bu sorun değil çünkü isteğin sonlandığı anda süresi dolmuştur.</li>
    <li>Bir CSRF token değildir. Konsept olarak benzer görünürler, ancak tamamen farklı sorunları çözerler.</li>
</ul>

<p>İşte bu kadar. Aşağıdaki şablonlarda <code>nonce="{{ $cspNonce }}"</code> gördüğünüzde, bu basitçe <em>"sunucu bu belirli bloğa güveniyor."</em> anlamına gelir.</p>

<hr/>

<h2>Naif Yaklaşım ve Başarısız Olmasının Nedenleri</h2>

<p>Çoğu ekip, CSP’yi bir güvenlik denetimi işaret ettiğinde keşfeder ve hemen en hızlı çözüm olan <code>nginx.conf</code> veya <code>apache.conf</code>'da statik bir başlık eklemeye yönelir.</p>

<p>Bu, yaklaşık beş dakika çalışır. Sonra, satır içi JavaScript kırılır. Alpine.js durur. Livewire durur. Ayrı bir dosyadan gelmeyen her <code><script/></code> bloğu engellenir. Anlık tepki, şu şekilde olur:</p>

<div class="highlight js-code-highlight">
    <pre class="highlight plaintext"><code>script-src 'self' 'unsafe-inline'</code></pre>
</div>

<p>Bitti. Her şey tekrar çalışıyor. Ve CSP şimdi tamamen işe yaramaz — <code>'unsafe-inline'</code> her türlü satır içi betiğin çalıştırılmasına izin verir, saldırganın enjekte ettiği birini de içine alır.</p>

<p>Doğru yaklaşım, <strong>her istekte oluşturulan nonce tabanlı görünüm olan bir CSP</strong> oluşturmak, burada her güvenilir satır içi betik yalnızca sunucunun bildiği bir token taşır. İşte bunu inşa ettik.</p>

<hr/>

<h2>CSP Dostu Kod Yazma: Zihniyet Değişimi</h2>

<p>Bir tek middleware yazmadan önce, şablonları yazma biçiminizi değiştirmeniz gerekir. CSP yalnızca bir başlık uygulamakla kalmaz — aynı zamanda kodunuzun nerede bulunduğuna dair bir disiplin zorlar.</p>

<p><strong>JavaScript'i HTML'nizden çıkarın.</strong> Olay işleyici nitelikleri, ana suçludur:</p>

<div class="highlight js-code-highlight">
    <pre class="highlight html"><code><!-- &#10060; Bu, makul bir CSP tarafından engellenir -->





<p><strong>Stilleri de HTML'nizden çıkarın.</strong> Elemanlar üzerindeki <code>style=""</code> nitelikleri bir nonce taşıyamaz — belirli örnekleri beyaz listeye almanın bir mekanizması yoktur. Sıkı bir politikayla tek seçenekleriniz "hepsini kabul et" veya "hepsini engelle" olmaktadır. Başlangıçtan itibaren CSS sınıfları kullanma alışkanlığını kazanın.</p>

<p><strong>Gerçekten taşımakta zorlandığınız satır içi kodlar için</strong> — JavaScript'in ihtiyaç duyduğu bir yapılandırma değeri, kritik üst kısım CSS — nonce sizin kaçış kapınızdır:</p>

<div class="highlight js-code-highlight">
    <pre class="highlight html"><code><script nonce="{{ $cspNonce }}">window.APP_ENV = "{{ config('app.env') }}";</script></code></pre>
</div>

<p>Nonce her istekte taze olarak üretilir. Bir saldırgan bunu tahmin edemez. Enjekte ettikleri bir betik nonce’a sahip değildir, bu yüzden diğer her şey başarısız olsa bile engellenir.</p>

<blockquote>
    <p><strong>Pro İpucu:</strong> Asla bir nonce’u sert kodlayın, asla yeniden kullanmayın. Bunu <code>random_bytes()</code> ile oluşturun — <code>uniqid()</code>, <code>md5(time())</code> ile değil.</p>
</blockquote>

<hr/>

<h2>Uygulama</h2>

<p>Bütün güvenlik başlıklarını tek bir <code>SecureHeadersMiddleware</code> içinde topladık, böylece mantığı <code>nginx.conf</code>, <code>.htaccess</code> ve birden fazla middleware dosyasına yaymamış olduk.</p>

<h3>Aşama 1: Nonce'u Üretin ve Paylaşın</h3>

<div class="highlight js-code-highlight">
    <pre class="highlight shell"><code>php artisan make:middleware SecureHeadersMiddleware</code></pre>
</div>

<div class="highlight js-code-highlight">
    <pre class="highlight php"><code><?php

declare(strict_types=1);

namespace App\Http\Middleware;

use Closure;
use Illuminate\Http\Request;
use Illuminate\Support\Facades\Vite;
use Illuminate\Support\Facades\View;
use Symfony\Component\HttpFoundation\Response;

class SecureHeadersMiddleware
{
// Disable in local/testing to avoid log noise from developer browsers
// full of extensions. Automatically driven by the current environment.
private bool $allowReporting;

public function __construct()
{
    $this->allowReporting = !app()->environment(['local', 'testing']);
}

public function handle(Request $request, Closure $next): Response
{
    $nonce = base64_encode(random_bytes(16));

    // Share with all Blade templates automatically — no manual passing needed
    View::share('cspNonce', $nonce);

    // Tell Vite to inject this nonce on its bootstrapping inline script.
    // Skip this and @vite() silently breaks under a strict CSP.
    Vite::useCspNonce($nonce);

    /  @var Response $response */
    $response = $next($request);

    $this->addContentSecurityPolicy($response, $nonce, $request);
    $this->addClickjackingProtection($response);
    $this->addStrictTransportSecurity($response, $request);
    $this->addMiscSecurityHeaders($response);
    $this->removeUnwantedHeaders($response);

    if ($this->allowReporting && $this->supportsReportTo($request)) {
        $this->addCspReportingEndpoint($response);
    }

    return $response;
}

}

<p>Burada iki sıralama kuralı önemlidir. Nonce <em>$next($request)</em> çağrısından <em>önce</em> üretilmelidir çünkü görünüm bu çağrı sırasında oluşturulmaktadır. Başlıklar <em>sonra</em> ayarlanmalıdır, çünkü yanıt nesnesine ihtiyaç duyarlar. Herhangi birinin yerini değiştirirseniz, işler sessizce bozulur.</p>

<h3>Aşama 2: CSP Politikasını Tanımlayın</h3>

<div class="highlight js-code-highlight">
    <pre class="highlight php"><code>protected function addContentSecurityPolicy(Response $response, string $nonce, Request $request): void

{
$isLocal = app()->environment(‘local’);

$policy = [
    "default-src 'self'",
    "script-src 'self' 'nonce-{$nonce}' https://cdn.jsdelivr.net https://cdnjs.cloudflare.com https://embed.tawk.to",
    "style-src 'self' 'nonce-{$nonce}' https://fonts.googleapis.com https://cdnjs.cloudflare.com",
    "style-src-elem 'self' 'nonce-{$nonce}' https://fonts.googleapis.com https://cdnjs.cloudflare.com",
    "style-src-attr 'none'",
    "font-src 'self' data: https://fonts.gstatic.com https://cdnjs.cloudflare.com",
    "img-src 'self' data: https://cdn.jsdelivr.net https://cdnjs.cloudflare.com https://your-cdn.example.com",
    "frame-src 'self' https://your-video-host.example.com",
    "connect-src 'self'" . ($isLocal ? " ws://localhost:5173 wss://localhost:5173" : ""),
    "object-src 'none'",
    "base-uri 'self'",
    "frame-ancestors 'none'",
];

// upgrade-insecure-requests on a local HTTP server triggers confusing
// mixed-content errors that have nothing to do with your code.
if (!$isLocal) {
    $policy[] = 'upgrade-insecure-requests';
}

if ($this->allowReporting) {
    $policy[] = 'report-uri /api/csp-violation-report';
}

$response->headers->set('Content-Security-Policy', implode('; ', $policy));

}

<p><strong>Yönerge referansı — her biri neyi kontrol eder:</strong></p>
<div class="table-wrapper-paragraph">
    <table>
        <thead>
            <tr>
                <th>Yönerge</th>
                <th>Ne kontrol eder</th>
                <th>Bizim değerimiz</th>
            </tr>
        </thead>
        <tbody>
            <tr>
                <td><code>default-src</code></td>
                <td>Açıkça listelenmemiş herhangi bir tür için geri dönüş olarak kullanılır</td>
                <td><code>'self'</code></td>
            </tr>
            <tr>
                <td><code>script-src</code></td>
                <td>JavaScript çalıştırılır</td>
                <td><code>'self'</code> + nonce + CDN beyaz listesi</td>
            </tr>
            <tr>
                <td><code>style-src</code></td>
                <td>CSS <code>@import</code> kurallarını kapsar; varsayılan geri dönüş</td>
                <td><code>'self'</code> + nonce + CDN beyaz listesi</td>
            </tr>
            <tr>
                <td><code>style-src-elem</code></td>
                <td><code><link rel="stylesheet"/></code> ve <code/> bloklarını yönetir</td>
                <td><code>'self'</code> + nonce + CDN beyaz listesi</td>
            </tr>
            <tr>
                <td><code>style-src-attr</code></td>
                <td>Satır içi <code>style=""</code> niteliklerini kontrol eder</td>
                <td><code>'none'</code> (tamamen engellenmiştir)</td>
            </tr>
            <tr>
                <td><code>font-src</code></td>
                <td>Font dosyalarını kontrol eder</td>
                <td><code>'self'</code> + veri URI'leri + Google Fonts</td>
            </tr>
            <tr>
                <td><code>img-src</code></td>
                <td>Görseller</td>
                <td><code>'self'</code> + veri URI'leri + CDN</td>
            </tr>
            <tr>
                <td><code>frame-src</code></td>
                <td><code><iframe></code> kaynaklarını kontrol eder</td>
                <td><code>'self'</code> + güvenilir video host</td>
            </tr>
            <tr>
                <td><code>connect-src</code></td>
                <td><code>fetch()</code>, XHR, WebSocket, SSE</td>
                <td><code>'self'</code> + localhost WS geliştirmede</td>
            </tr>
            <tr>
                <td><code>object-src</code></td>
                <td>Tarayıcı eklentileri (Flash, Java)</td>
                <td><code>'none'</code></td>
            </tr>
            <tr>
                <td><code>base-uri</code></td>
                <td><code><base/></code> etiketinin <code>href</code> değerini</td>
                <td><code>'self'</code></td>
            </tr>
            <tr>
                <td><code>frame-ancestors</code></td>
                <td>Bu sayfayı iframe içinde kimlerin gömebileceğini kontrol eder</td>
                <td><code>'none'</code></td>
            </tr>
        </tbody>
    </table>
</div>

<p><strong><code>default-src 'self'</code></strong> ifadesi, belirli bir yönerge ile kapsanmadıkça yalnızca aynı kaynakların kullanılacağı anlamına gelir.</p>

<p><strong><code>script-src</code></strong> çoğu işin yapıldığı yerdir. Nonce, her istekte, kriptografik olarak rastgele ve tahmin edilmesi zor. CSP Seviye 3'te, bir nonce'un varlığı modern tarayıcılar için <code>'unsafe-inline'</code> değerini otomatik olarak geçersiz kılar — böylece geçici bir geri dönüş olarak ekleseniz bile, modern tarayıcılar bunu nonce doğrulamasına göre göz ardı eder.</p>

<p><strong><code>connect-src</code></strong> JavaScript'in konuşabileceği her şeyi kontrol eder: <code>fetch()</code>, <code>XMLHttpRequest</code>, WebSocket ve Server-Sent Events. Vite'nin Isıtma Modülü Değişimi, gelişim sırasında tarayıcınıza değişiklikleri iletmek için <code>localhost:5173</code> üzerinde bir WebSocket kullanır. Bunu <code>connect-src</code> içinde belirtmezseniz, HMR sessizce başarısız olur ve tüm gün zorunlu yenilemeler yapmanız gerekir. Üretimde, bu girişin görünmemesi gerekir — bu nedenle çevre kontrolü yapılır.</p>

<p><strong><code>object-src 'none'</code></strong> Flash ve tüm diğer tarayıcı eklentilerini engeller. 2026'da bunların kullanımına gerek yok.</p>

<p><strong><code>base-uri 'self'</code></strong> saldırganın <code><base href="https://evil.com"/></code> eklemesini engeller, bu da tüm göreceli URL'leri — bağlantılar, form eylemleri, betik yolları — kendi sunucularına yönlendirebilir.</p>

<p><strong><code>frame-ancestors 'none'</code></strong> CSP seviyesi tıklama tuzağı korumasıdır: sayfalarınızı diğer domainlerde iframe içinde gömemezler. Modern tarayıcılar için <code>X-Frame-Options</code>’dan daha güçlüdür; <code>X-Frame-Options</code>’ı da eski tarayıcılar için tutuyoruz.</p>

<p><strong><code>upgrade-insecure-requests</code></strong> tarayıcıya HTTP alt kaynağı isteklerini otomatik olarak HTTPS'ye yükseltmesini söyler. Gelişimde bunun yerine geçmesini atlıyoruz çünkü düz HTTP geliştirme sunucusunda kafa karıştırıcı karışık içerik hatalarına neden olur.</p>

<h4>Derin Dalış: <code>style-src</code>, <code>style-src-elem</code>, ve <code>style-src-attr</code></h4>

<p>Birçok geliştirici bu üçünün birbiriyle aynı şey olduğunu varsayıp sadece <code>style-src</code> ayarlayarak geçiyor. Ancak, bu yanlış anlama, stillerin rastgele kırıldığı saatler boyunca hata ayıklamaya neden olur.</p>

<p><strong>Bir cümle ile özetlemek gerekirse:</strong> <code>style-src</code> yedek olarak kullanılır. <code>style-src-elem</code> <code><link rel="stylesheet"/></code> ve <code/> bloklarını kontrol eder. <code>style-src-attr</code> yalnızca HTML öğeleri üzerindeki satır içi <code>style=""</code> niteliklerini kontrol eder. Her üçünü de açıkça ayarlayın veya tarayıcı nasıl miras alacağını belirler, bu da genellikle istemediğiniz bir durum yaratır.</p>

<p><strong><code>style-src</code></strong> CSS ile ilgili her şeyle ilgilidir. Daha spesifik yönergeler ayarlanmadığı sürece kullanılır. Diğerlerini ayarlarsanız bile <code>style-src</code> hala yönetim göstermemektedir; <strong>CSS <code>@import</code> kuralları sadece stilleriniz</strong> içinde <code>@import url('https://fonts.googleapis.com/...')</code> ile kontrol edilir, <code>style-src-elem</code> üzerinde değil.</p>

<p><strong><code>style-src-elem</code></strong> şu iki şeye kontrol eder: <code><link rel="stylesheet"/></code> etiketleri ve <code/> blokları. Önemli nokta, <code/> bloklarının <em>nonce</code> taşıyabileceğidir, bu nedenle yalnızca yazdığınız satır içi stilleri kesin olarak beyaz listeleyebilirsiniz:</p>

<div class="highlight js-code-highlight">
    <pre class="highlight html"><code>{{-- Güvenli — nonce başlıkla eşleşiyor --}}

{{– Engellendi — nonce yok –}}

<p>Harici stil sayfaları <code><link href="https://dev.to/itxshakil/..."/></code> üzerinden geçiş yaparken nonce almazlar — bunlar domain beyaz listesinden kontrol edilir. Noncelar yalnızca beyaz listeleyemeyecekleri satır içi içerikler içindir.</p>

<p><strong><code>style-src-attr</code></strong> yalnızca HTML öğeleri üzerindeki satır içi <code>style=""</code> niteliğini kontrol eder — bu sorunlu iş. <code>style=""</code> nitelikleri <strong>nonce taşıyamazlar</strong>. Belirli olanları beyaz listelemek için kesin bir mekanizma yoktur. Tek seçenekleriniz <code>'unsafe-inline'</code> (bunları tümüyle kabul eder, bu da enjekte edilenleri kapsar) veya <code>'none'</code> (bunların tamamını engeller) almak olur. Kullanımda <code>'none'</code>'u tercih ediyoruz.</p>

<p>Önceki JavaScript tabanlı kullanıcı arayüzü kitaplıklarınızı denetleyin. Sürükle bırak, ipuçları ve modallar genellikle <code>style="top: 48px; left: 200px"</code> dinamik olarak ayarlar — bunların her biri <code>style-src-attr 'none'</code> altında bozulacak. Önce rapor-modunu çalıştırın, günlükleriniz tam olarak hangi kütüphanelerin sorunlu olduğunu gösterecektir.</p>

<hr/>

<h3>Aşama 3: Blade'de Nonce Kullanın</h3>

<div class="highlight js-code-highlight">
    <pre class="highlight html"><code>{{-- Vite varlıkları — etiketin kendisinde nonce niteliği gerekli değil.
 Vite::useCspNonce() middleware'de inline bootstrapper'ı yönetiyor. --}}

@vite([‘resources/css/app.css’, ‘resources/js/app.js’])

{{– Kendi yazdığınız satır içi script blokları –}}

{{– Satır içi stiller –}}

{{– Livewire v2 –}}
@livewireScripts([‘nonce’ => $cspNonce])

{{– Livewire v3 –}}
@livewireScriptConfig([‘nonce’ => $cspNonce])

<p><strong>Açıklık getirmek gerekirse:</strong> <code><script src="https://dev.to/itxshakil/..."/></code> ve <code><link rel="stylesheet" href="https://dev.to/itxshakil/..."/></code> etiketleri harici dosyaları göstermek için nonce niteliğine ihtiyacı yoktur. Tarayıcı, dominleri beyaz listeye alırsa izin verir. Nonceler, yalnızca beyaz listeleyecek içerikler için bulunmaktadır.</p>

<h3>Aşama 4: Diğer Güvenlik Başlıklarını Ekleyin</h3>

<p>CSP bir katmandır. Aynı middleware, diğer tarayıcı güvenlik başlıklarını da işler — her biri ayrı bir odaklanmış yöntemle:</p>

<div class="highlight js-code-highlight">
    <pre class="highlight php"><code>protected function addClickjackingProtection(Response $response): void

{
// Legacy browsers fall back to this; modern ones use frame-ancestors from CSP
$response->headers->set(‘X-Frame-Options’, ‘DENY’);
}

protected function addStrictTransportSecurity(Response $response, Request $request): void
{
// Check X-Forwarded-Proto too — without this, HSTS is never sent when
// you’re behind a load balancer that terminates SSL before Laravel sees the request
$isHttps = $request->isSecure() || strcasecmp((string) $request->header(‘X-Forwarded-Proto’, ”), ‘https’) === 0;

if (!$isHttps) {
    return;
}

$response->headers->set('Strict-Transport-Security', 'max-age=31536000; includeSubDomains; preload');

}

protected function addMiscSecurityHeaders(Response $response): void
{
// Prevents browsers from MIME-sniffing a response away from the declared content-type
$response->headers->set(‘X-Content-Type-Options’, ‘nosniff’);

// Controls what's sent in the Referer header on navigation
$response->headers->set('Referrer-Policy', 'strict-origin-when-cross-origin');

// Deprecated and ignored by modern browsers, but harmless to include
$response->headers->set('X-XSS-Protection', '1; mode=block');

// Restrict access to sensitive browser APIs
$response->headers->set('Permissions-Policy', 'geolocation=(), microphone=(self), camera=(self), payment=(), fullscreen=*');

}

protected function removeUnwantedHeaders(Response $response): void
{
// Both calls are needed: Symfony’s header management and PHP’s header() function
// operate at different levels. Without both, X-Powered-By: PHP/8.x can still leak.
foreach ([‘X-Powered-By’, ‘Server’] as $header) {
$response->headers->remove($header);
@header_remove($header);
}
}

<h3>Aşama 5: Middleware’i Kaydedin</h3>

<div class="highlight js-code-highlight">
    <pre class="highlight php"><code>// Laravel 11 — bootstrap/app.php

->withMiddleware(function (Middleware $middleware) {
$middleware->web(append: [
\App\Http\Middleware\SecureHeadersMiddleware::class,
]);
})

// Laravel 10 — app/Http/Kernel.php
protected $middlewareGroups = [
‘web’ => [
// …
\App\Http\Middleware\SecureHeadersMiddleware::class,
],
];

<p>Bu middleware’i <code>web</code> grubuna eklemek, JSON API yollarınızın — Blade view’leri render etmeyen — gereksiz bir CSP başlığı almasını engeller. Yüksek hacimli API'ler için bu anlamlı bir ayrım.</p>

<hr/>

<h2>CSP İhlal Raporlama — Erken Alarm Sistemi 🚨</h2>

<p>CSP’yi bir raporlama noktası olmadan çalıştırmak, bir alarmı izlemeksizin kurmaya benzer. Politikanızın bir şeyi engellediğini bilmelisiniz — yanlış yapılandırmaları, kullanıcılarınızdan önce tespit etmek için, ve gerçek enjekte etme girişimlerini belirlemek için.</p>

<h3>İhlal Raporu Nasıl Görünür?</h3>

<p>Bir tarayıcı bir şeyi engellediğinde, raporlama başlığı JSON yükünü POST eder. İşte bu raporun görünüşü:</p>

<div class="highlight js-code-highlight">
    <pre class="highlight json"><code>{

“csp-report”: {
“document-uri”: “https://yourapp.com/dashboard“,
“referrer”: “”,
“violated-directive”: “script-src-elem”,
“effective-directive”: “script-src-elem”,
“original-policy”: “default-src ‘self’; script-src ‘self’ ‘nonce-abc123′”,
“blocked-uri”: “https://evil.com/injected.js“,
“status-code”: 200
}
}

<p><code>blocked-uri</code> hangi kaynakların engellendiğini gösterir. <code>violated-directive</code> hangi kuralın yakaladığını belirtir. Birlikte, bunun listede unuttuğunuz meşru bir kaynak mı yoksa asla burada olmaması gereken bir şey mi olduğu konusunda hızlıca bilgi verir.</p>

<blockquote>
    <p><strong>Barındırılan alternatif:</strong> Kendi raporlama hattınızı oluşturmak istemiyorsanız, <a href="https://report-uri.com" target="_blank" rel="noopener noreferrer">report-uri.com</a> CSP raporu toplama ve analiz etme servisi sunmaktadır. Gürültü filtreleme, kontrol panelleri ve uyarılar için işlemleri üstlenir.</p>
</blockquote>

<h3>Route</h3>

<div class="highlight js-code-highlight">
    <pre class="highlight php"><code>// routes/api.php

Route::post(‘/csp-violation-report’, [CspReportController::class, ‘store’])->middleware(‘throttle:5’);

<p><code>throttle:5</code> her IP için dakikada 5 rapor kısıtlar. Orantı limitlemesi olmadan, bir saldırgan, döngüde ihlalleri tetikleyerek loglama altyapınızı doldurabilir — disk alanını tüketmenize veya gerçek tehditleri gürültü içinde gizlemenize neden olur.</p>

<h3>Controller</h3>

<div class="highlight js-code-highlight">
    <pre class="highlight php"><code><?php

declare(strict_types=1);

namespace App\Http\Controllers\Api;

use Illuminate\Http\Request;
use Illuminate\Support\Facades\Log;
use Illuminate\Support\Facades\RateLimiter;

class CspReportController
{
public function store(Request $request)
{
$body = json_decode($request->getContent(), true);
$report = $body[‘csp-report’] ?? $body ?? [];

    if (empty($report) || !is_array($report)) {
        return response()->noContent();
    }

    $json = json_encode($report);
    $ip = $request->ip();
    $blockedUri = data_get($report, 'blocked-uri', '');
    $violatedDirective = data_get($report, 'violated-directive', '');

    // Tarayıcı uzantıları en büyük CSP gürültüsü kaynağıdır.
    // Reklam engelleyicileri, şifre yöneticileri ve Geliştirici Araçları uzantıları tümü rapor tetikler.
    // Bunlar eyleme geçirilebilir değildir - derhal filtreleyin.
    if (
        str_contains($json, 'chrome-extension://') ||
        str_contains($json, 'moz-extension://') ||
        str_contains($json, 'safari-extension://')
    ) {
        return response()->noContent();
    }

    // Düşük risk: genellikle kendi kodunuz veya standart bir kütüphane.
    // Haftalık inceleyin, hemen değil.
    $lowRiskUris = ['about:blank', 'blob:', 'data:', 'inline', 'eval'];

    if (in_array($blockedUri, $lowRiskUris)) {
        Log::channel('csp_low')->info('Düşük riskli CSP ihlali', compact('ip', 'report'));
        return response()->noContent();
    }

    // Yüksek risk: bir harici domain, bilinmeyen bir betik, muhtemelen enjekte edilmiş içerik.
    // Tam bağlamla günlüğe kaydedin. Süreklilik durumunda uyarın.
    Log::channel('csp_high')->warning('Yüksek riskli CSP ihlali', compact('ip', 'report'));

    $this->checkForThresholdAlert($ip, $blockedUri, $violatedDirective);

    return response()->noContent();
}

protected function checkForThresholdAlert(string $ip, string $uri, string $directive): void
{
    // Aynı IP, aynı direktif, 60 saniyede 10+ defa = çözüm, değil gürültü.
    $key = "csp_alert:{$ip}:{$directive}:{$uri}";

    if (RateLimiter::tooManyAttempts($key, 10)) {
        Log::alert('CSP eşiği aşıldı — muhtemel aktif saldırı', [
            'ip' => $ip,
            'uri' => $uri,
            'directive' => $directive,
        ]);
        return;
    }

    RateLimiter::hit($key, 60);
}

}

<h3>Log Kanalları</h3>

<div class="highlight js-code-highlight">
    <pre class="highlight php"><code>// config/logging.php

‘csp_low’ => [
‘driver’ => ‘single’,
‘path’ => storage_path(‘logs/csp-low-risk.log’),
‘level’ => ‘info’,
],

‘csp_high’ => [
‘driver’ => ‘single’,
‘path’ => storage_path(‘logs/csp-high-risk.log’),
‘level’ => ‘warning’,
],

<p>Ayrı dosyalar, farklı saklama politikaları ayarlamanıza izin verir — düşük riskli günlükler haftada bir dönerken, yüksek riskli günlükler 90 gün kalır. Üretimde, <code>Log::alert()</code> ile Slack veya PagerDuty ile kablo hazırlayarak yüksek riskli ihlallerin ani bir artışı durumunda birini uyandırabilirsiniz.</p>

<h3>Modern Report-To Başlığı</h3>

<p>Chrome 70+, Edge 79+ ve Firefox 60+ için <a href="https://developer.mozilla.org/en-US/docs/Web/API/Reporting_API" target="_blank" rel="noopener noreferrer">Raporlama API'si</a> (<code>Report-To</code> başlığı) <code>report-uri</code>'den daha etkilidir — raporlar toplu hale gelir ve son nokta tarayıcıda yedeklenir ki kayıtlarda yer bulan başlık içeren sayfalarda böylece gönderilmeye devam eder.</p>

<div class="highlight js-code-highlight">
    <pre class="highlight php"><code>protected function supportsReportTo(Request $request): bool

{
$ua = $request->header(‘User-Agent’, ”);

return (bool)preg_match('/(Chrome\/([7-9][0-9]|[1-9][0-9]{2,}))|(Firefox\/(6[0-9]|[7-9][0-9]|[1-9][0-9]{2,}))|(Edg\/([7-9][0-9]|[1-9][0-9]{2,}))|(Version\/(1[3-9]|[2-9][0-9])) Safari\//', $ua);

}

protected function addCspReportingEndpoint(Response $response): void
{
$reportTo = [
‘group’ => ‘csp-endpoint’,
‘max_age’ => 10886400, // 126 days — browser caches this endpoint
‘endpoints’ => [
[‘url’ => url(‘/api/csp-violation-report’)],
],
‘include_subdomains’ => true,
];

$response->headers->set('Report-To', json_encode($reportTo, JSON_UNESCAPED_SLASHES));

}

<p>Birçok tarayıcı, <code>report-uri</code> ve <code>Report-To</code> başlığı her ikisinin de uyumlu olduğunu bilmektedir; ikisi de mevcut durumda kalabilir.</p>

<hr/>

<h2>Ön Uygulama Kontrol Listesi</h2>

<p>Rapor-modundan uygulama moduna geçmeden önce kontrol edin:</p>
<ul>
    <li>[ ] <code>Vite::useCspNonce($nonce)</code> middleware’de <em>$next($request)</em> çağrısından <em>önce</em> çağrılmalıdır</li>
    <li>[ ] <code>@vite()</code>, <code>@livewireScripts()</code> ve <code>@livewireScriptConfig()</code> nonce'u pastalamalıdır</li>
    <li>[ ] Her el ile yazılmış satır içi <code><script/></code> bloğu <code>nonce="{{ $cspNonce }}"</code> sahip olmalıdır</li>
    <li>[ ] Her el ile yazılmış satır içi <code/> bloğu <code>nonce="{{ $cspNonce }}"</code> sahip olmalıdır</li>
    <li>[ ] <code>onclick=""</code>, <code>onsubmit=""</code> ve diğer olay işleyici nitelikleri şablonlardan çıkarılmalıdır</li>
    <li>[ ] <code>style=""</code> nitelikleri CSS sınıflarıyla değiştirilmelidir (veya bunu kullanan kütüphane belgelenmelidir)</li>
    <li>[ ] Yüklediğiniz tüm CDN domain’leri uygun beyaz listeye alınmalıdır</li>
    <li>[ ] <code>connect-src</code> API son noktalarınızı, WebSocket hostlarınızı ve analitik hedeflerinizi içermelidir</li>
    <li>[ ] <code>connect-src</code> üretim politikanızda <strong>localhost</strong> içermemelidir</li>
    <li>[ ] İhlal raporu son noktası canlı, kısıtlanmış ve günlük kanalları yapılandırılmış durumdadır</li>
    <li>[ ] Rapor-modu en az bir hafta boyunca üretimde çalıştırılmalı ve yeni yüksek riskli ihlaller olmamalıdır</li>
</ul>

<hr/>

<h2>Güvenle Yayınla: Önce Rapor-Modunda Başla</h2>

<p>CSP'yi mevcut bir uygulamaya ekliyorsanız, zorla uygula moduna atlamayın. Önce başlık adını değiştirin:</p>

<div class="highlight js-code-highlight">
    <pre class="highlight php"><code>// Şunu değiştirin:

$response->headers->set(‘Content-Security-Policy’, implode(‘; ‘, $policy));

// Geçici olarak şuna:
$response->headers->set(‘Content-Security-Policy-Report-Only’, implode(‘; ‘, $policy));

<p>Tarayıcı ihlalleri rapor eder ama hiçbir şeyi engellemez. Üretimde bir ile iki hafta çalıştırın ve <code>csp-high-risk.log</code>'a göz atın. Her giriş, ya beyaz listeye almanız gereken bir kaynağı ya da orada asla olmaması gereken bir şeyi gösterir. Günlük suskun hale geldiğinde, <code>Content-Security-Policy</code>'ye geri dönün.</p>

<p>Bu adım, yumuşak bir dağıtım ile sinirli bir destek kuyruğu arasındaki ayrımı oluşturur.</p>

<blockquote>
    <p><strong>Başlıklarınızı doğrulayın:</strong> Yanıt başlıklarınızı derecelendirmek için <a href="https://securityheaders.com" target="_blank" rel="noopener noreferrer">securityheaders.com</a> kullanın. Politikanızı yaygın zayıflıklara karşı kontrol etmek için Google’ın <a href="https://csp-evaluator.withgoogle.com/" target="_blank" rel="noopener noreferrer">CSP Evaluator</a>'ini kullanın. Her ikisi de ücretsizdir.</p>
</blockquote>

<hr/>

<h2>Farklı Yapmak İstediklerimiz</h2>

<p><strong>Drop <code>X-XSS-Protection</code>.</strong> Kullanımı artık geçersizdir ve modern tarayıcılar tarafından yok sayılır. Eski IE sürümlerinde bir hata olduğunu biliyorum, exploite edilmiş olabilir. Bunu tutuyoruz çünkü aktif bir şekilde zarar vermiyor, ama yeni uygulamalarla uğraşmayın.</p>

<p><strong>Büyük bir ekibiniz varsa, ilgili alanları ayrı tutun.</strong> Tüm başlıkları tek bir middleware içinde toplamak iyi çalışıyor ama ayrı bir <code>CspMiddleware</code> daha kolay test edilmektedir. Eğer özelleştirilmiş bir çözüm yerine yapılandırılmış, politika sınıfı bazlı bir yaklaşım arıyorsanız, <a href="https://github.com/spatie/laravel-csp" target="_blank" rel="noopener noreferrer">Spatie'nin laravel-csp</a> paketi ilk sınıf test desteği ile size bunu sağlayacaktır.</p>

<p><strong>Gerçekten statik olan satır içi içerikler için hash kullanın.</strong> Taşınamayacak çok küçük bir satır içi CSS için — örneğin, veritabanı değerlerinden gelen bir arka plan rengi — CSP, noncelar yerine SHA-256 hashlerini destekler. Tam dizeyi önceden hesaplayıp beyaz listeleyebilirsiniz. Amansız hassasiyet ile çalışan bir zaman aşımınız yoktur.</p>

<p><strong>Middleware'den açıkça <code>api</code> grubunu hariç tutun.</strong> Uygulamamız, middleware'i <code>web</code> grubuna ekler. Ancak, eğer global olarak herhangi bir rota kaydederseniz — veya düz bir rota dosyasına geçerseniz — API yanıtları, gereksiz bir CSP başlığı hukuktan zararsız bir şekilde alabilir. Bir grup dışında bırakma ile açık olmak, kayıt sırasına güvenmekten daha güvenlidir:</p>

<div class="highlight js-code-highlight">
    <pre class="highlight php"><code>// Laravel 11 — bootstrap/app.php

->withMiddleware(function (Middleware $middleware) {
$middleware->web(append: [
\App\Http\Middleware\SecureHeadersMiddleware::class,
]);
// api grubu kasten hariç tutulmuş — JSON yanıtların CSP’ye ihtiyacı yoktur
})

<hr/>

<h2>Sonuç</h2>

<p>Rapor-modunda iki hafta ve izin listesi ayarları için bir öğleden sonra çalıştıktan sonra, uygulama moduna geçtik. Güvenlik başlıkları puanımız, <a href="https://securityheaders.com" target="_blank" rel="noopener noreferrer">securityheaders.com</a> üzerinden D'den A+'ya çıktı.</p>

<p>O zamandan beri, <code>csp-high-risk.log</code>, izni olmayan üçüncü taraf bir CDN'nin izleme skriptlerini enjekte etme girişiminde bulunduğu iki durumu yakaladı. Middleware, kod incelemesinin yakalayamayacağı şeyleri tespit etti.</p>

<p>Kendi politikanızı yapılandırmak istiyorsanız ama baştan inşa etmek istemiyorsanız, <a href="https://csp-generator.shakiltech.com" target="_blank" rel="noopener noreferrer">Laravel CSP Generator</a> size bunu görsel olarak sunar — CDN'lerinizi, entegrasyonlarınızı ve çevre ayarlarınızı değiştirin, tam politikanın dizesini ve yapıştırmaya hazır PHP middleware yöntemini oluşturur. Ön uygulama kontrol listesi entegre edilmiştir ve yapılandırmanıza göre uyum gösterir.</p>

<p>CSP masum bir gümüş mermi değildir — CSRF koruması, giriş doğrulama, hazırlanmış ifadeler ve HTTPS ile birlikte derinliği olan bir savunma yaklaşımındaki bir katmandır. Ancak diğer savunmalardan farklı olarak, bir dizi saldırıyı tarayıcı seviyesinde aktif olarak engeller, uygulama katmanı savunmalarınızın her şeyle başa çıkmasını beklemektense.</p>

<p>Bugün rapor-modda başlayın. Bir hafta boyunca günlüklerinizi izleyin. Sonra uygulamaya koyun. 🚀</p>

<hr/>

<h2>Hızlı Referans PDF'sini Alın</h2>

<p>Bir belge isterseniz, açık tutmak için — tam yönerge referansı, ön uygulama kontrol listesi, yaygın hatalar ve hızlı başlangıç parçalarıyla birlikte — hepsini 4 sayfalık bir PDF'de derledim.</p>

<p>Aşağı e-posta adresinizi bırakın, hemen gelen kutunuza ulaşacaktır. Seriler yok, spam yok — sadece PDF.</p>

<blockquote>
    <p><strong><a href="https://csp-generator.shakiltech.com#guide" target="_blank" rel="noopener noreferrer">→ Laravel CSP Hızlı Referans PDF'sini Alın</a></strong></p>
    <p>4 sayfa · 13 yönerge · Ön uygulama kontrol listesi · 5 yaygın hata · Ücretsiz</p>
</blockquote>

<hr/>

<h2>Sıkça Sorulan Sorular</h2>

<p><strong>CSP mevcut Laravel uygulamalarını kırar mı?</strong></p>
<p>Kırabilir — özellikle de nonce'siz satır içi betik veya stilleriniz varsa. İlk başta <code>Content-Security-Policy-Report-Only</code> kullanarak engellenecek her şeyi ortaya çıkarın, şablonlarınızı düzeltin, ardından uygulama moduna geçin. Bu, zaten üretim aşamasında olan bir uygulama için tek güvenilir göç yolu.</p>

<p><strong>Zaten CSRF korumam var, bu nedenle CSP’ye ihtiyacım var mı?</strong></p>
<p>Evet. Farklı saldırılara karşı koruma sağlar. CSRF, diğer domainlerden gelen sahte istekleri engeller. CSP, sahte betikleri kendi domaininizde <em>çalışmaktan</em> engeller. Birisi diğerinin yerini almaz.</p>

<p><strong>Uygulamamın kullanıcı tarafından üretilen içeriği yoksa CSP'ye ihtiyacım var mı?</strong></p>
<p>Evet. XSS, kullanıcıların herhangi bir şey göndermesini gerektirmez. Eğer bir bağımlılık, bir tehlikeye düşmüş CDN betiği veya URL parametreleri aracılığıyla DOM tabanlı XSS var ise, tüm bunlar kullanıcı yüklemesi ile ilgili olmayan gerçek saldırı vektörleridir.</p>

<p><strong>Bütün bu CSP düzenlemelerini yaptıktan sonra vites HMR’im durdu. Sorun ne?</strong></p>
<p>İki şeyi kontrol etmeniz gerekiyor. İlk olarak, <code>Vite::useCspNonce($nonce)</code>'nin <code>$next($request)</code> 'den önce çağrıldığından emin olun. İkincisi, <code>connect-src</code>'nin yerel ortamınızda <code>ws://localhost:5173</code> (veya Vite portu) içerdiğini doğrulayın. HMR, bir WebSocket üzerinde çalışır ve eğer bu WebSocket bağlantısı engellenirse başarısız olur.</p>

<p><strong><code>report-uri</code> ve <code>Report-To</code> arasındaki fark nedir?</strong></p>
<p><code>report-uri</code> orijinal mekanizmadır ve yaygın olarak desteklenmektedir. <code>Report-To</code> daha yeni Raporlama API'sidir — raporlar topluca gider, son nokta tarayıcı tarafından aylarca önbelleğe alınır ve yalnızca CSP ile ilgilenmez. Her ikisini de kullanın: <code>report-uri</code> genel düşüş noktası olarak, <code>Report-To</code> ise modern tarayıcılar için. Alternatif olarak, kendi tasarımınızı sıfırdan yapmamak için <a href="https://report-uri.com" target="_blank" rel="noopener noreferrer">report-uri.com</a>'u kullanın.</p>

<p><strong>Geliştirmede CSP ihlalleri nasıl ele alınır?</strong></p>
<p>Geliştirici Araçlarını açın → Konsol. Her CSP ihlali engellenen tam kaynak ve ihlal edilen yönergeyi kaydeder. Bu en hızlı hata ayıklama aracıdır. Rapor-modunda iseniz, aynı ihlaller yaşanır ama hiçbir şey bozulmaz.</p>

<p><strong>CSP ile Livewire nasıl ele alınır?</strong></p>
<p>Livewire satır içi JavaScript enjekte eder ki bu nonce gerektirir. v2 için: <code>@livewireScripts(['nonce' =&gt; $cspNonce])</code>. v3 için: <code>@livewireScriptConfig(['nonce' =&gt; $cspNonce])</code>. Her ikisi de yukarıdaki Aşama 3'te gösterilmiştir.</p>

<p><strong>Google Analytics veya Tag Manager hakkında ne dersiniz?</strong></p>
<p><code>script-src</code>'ye <code>https://www.googletagmanager.com</code>'u, <code>connect-src</code>'ye ise <code>https://www.google-analytics.com</code>'u ekleyin. GTM'nin özel HTML etiketleri <code>'unsafe-inline'</code> gerektirir ki bu sizin politikanızı zayıflatır — sunucu tarafı GTM veya doğrudan GA4 entegrasyonu, taşımaya değen daha temiz alternatiflerdir.</p>

<p><strong>Spatie'nin <code>laravel-csp</code> paketini özel middleware yerine kullanabilir miyim?</strong></p>
<p>Kesinlikle. <a href="https://github.com/spatie/laravel-csp" target="_blank" rel="noopener noreferrer">Spatie'nin paketi</a>, yapılandırılmış, politika sınıfı bazlı bir yaklaşımla birlikte ilk sınıf test araçları sağlar. Bizim özel middleware’imiz, tüm güvenlik başlıklarını bir arada tutmak istediğimiz için anlamlıydı, ancak her iki yaklaşım geçerli ve seçiminiz, ekibinizin kontrol ve gelenek tercihlerine bağlıdır.</p>

<hr/>

<p><em>Üretim Laravel uygulamanızda CSP'yi uyguladınız mı? İyi bir dağıtım alımı yaptıysanız, üçüncü taraf bir kütüphaneyle bir sorun yaşadıysanız veya hâlâ rapor-modunda oturup ne yapacağınızı düşünüyorsanız — yorum bırakın. Hangi kaynakların engellendiğini görmekte zorlandığınızı veya başlattığınızda sizi en çok şaşırtan engellenen kaynakların neler olduğunu duymak isterim.</em></p>

Kaynak: Orijinal Makale

Laravel için Açıklanabilir Yapay Zeka Araç Seti Geliştirme (Sıradan Bir ChatGPT Kütüphanesi Değil)
Üç Gece İçinde Inertia ve Yeni Laravel’i Denemek İçin Küçük Bir Proje Geliştirdim
Kendi Gelen Kutunuza Test E-posta Göndermeyi Durdurun: Bunun Yerine Bunu Kullanın
Laravel/Nightwatch’ı kendi Postgres’imle yönlendirdim ve tek bir örnekte 13,400 yükleme/s hızına ulaştım.
Sıfırdan RAG’a: Laravel Uygulamasında Retrieval-Augmented Generation’ı Uygulama
Bu Makaleyi Paylaş
Önceki Makale Anne Girişimciler Ekonominin Motoru Olabilir mi?
Sonraki Makale Teknolojinin Geleceği: Sinister War Sim PVKK 2027’ye Ertelendi

Sanal Medya

Son Eklenenler

AMD, Steam Anketi’nde CPU Payını %45’e Yakınlaştırdı
Donanım
Hac yolcusunu taşıyan otobüs, bir tankerle çarpıştı ve alev aldı Bir trafik kazasında 21 ölü, 19 yaralı
Dünyadan Güncel Haberler
Valheim’in Derin Kuzeyi Tam Sürümle Birlikte Yeni Ufuklar Açıyor
Oyun
Halo: Yeni Kampanya 28 Temmuz’da Geliyor
Liste
Yenilikçi AI ile Geliştirilen Crazy Taxi: Dünya Turu Duyuruldu
Oyun
Rusya’nın ‘Starlink Tarzı’ Rassvet filosu ilk uydusunu kaybetti
Donanım