Política de Seguridad de Contenido (CSP)
Quick Definition
Un encabezado HTTP de seguridad que ayuda a prevenir cross-site scripting (XSS), clickjacking y otros ataques de inyección de código controlando qué recursos pueden cargarse.
¿Qué es Política de Seguridad de Contenido?
La Política de Seguridad de Contenido (CSP) es un estándar de seguridad implementado como un encabezado de respuesta HTTP que permite a los desarrolladores de aplicaciones web controlar qué recursos (scripts, estilos, imágenes, etc.) el navegador puede cargar para una página determinada. Proporciona una defensa poderosa contra XSS y otros ataques de inyección.
Las directivas CSP incluyen:
- default-src: Respaldo para otros tipos de recursos
- script-src: Fuentes válidas para JavaScript
- style-src: Fuentes válidas para hojas de estilo
- img-src: Fuentes válidas para imágenes
- connect-src: Fuentes válidas para AJAX, WebSocket, etc.
- frame-src: Fuentes válidas para frames e iframes
- report-uri: Dónde enviar informes de violaciones
CSP puede operar en modo de aplicación (bloqueando violaciones) o en modo solo-reporte (registrando violaciones sin bloquear), facilitando el despliegue gradual.
Ejemplos
Un encabezado CSP estricto:
Content-Security-Policy: default-src 'self'; script-src 'self' https://trusted.cdn.com; style-src 'self' 'unsafe-inline'; img-src 'self' data: https:;Esta política solo permite scripts del mismo origen y un CDN de confianza, mientras bloquea scripts inline que los atacantes podrían inyectar.