Política de Seguridad de Contenidos (CSP)
¿Qué es Política de Seguridad de Contenidos (CSP)?
Política de Seguridad de Contenidos (CSP)Cabecera HTTP que indica al navegador qué orígenes de scripts, estilos, marcos y otros recursos están permitidos, limitando el impacto de XSS y de inyecciones de datos.
La CSP se envía mediante la cabecera de respuesta «Content-Security-Policy» (o un elemento «meta») y aplica una lista blanca detallada por tipo de recurso: «script-src», «style-src», «img-src», «connect-src», «frame-ancestors», etc. Las CSP modernas estrictas se basan en nonces o hashes en lugar de listas de hosts, por lo que un script inyectado sin el nonce correcto simplemente no se ejecuta. CSP también bloquea manejadores en línea, desactiva «eval» por defecto y puede reportar violaciones con «report-to». Es un control de defensa en profundidad que reduce notablemente XSS, clickjacking (con «frame-ancestors») y contenido mixto, pero no sustituye a la validación de entrada ni a la codificación de salida.
● Ejemplos
- 01
Cabecera: «Content-Security-Policy: script-src 'self' 'nonce-r4nd0m'; object-src 'none'; base-uri 'none'; frame-ancestors 'none'».
- 02
Política de informe: «Content-Security-Policy-Report-Only» para probar una CSP más estricta antes de aplicarla.
● Preguntas frecuentes
¿Qué es Política de Seguridad de Contenidos (CSP)?
Cabecera HTTP que indica al navegador qué orígenes de scripts, estilos, marcos y otros recursos están permitidos, limitando el impacto de XSS y de inyecciones de datos. Pertenece a la categoría de Seguridad de aplicaciones en ciberseguridad.
¿Qué significa Política de Seguridad de Contenidos (CSP)?
Cabecera HTTP que indica al navegador qué orígenes de scripts, estilos, marcos y otros recursos están permitidos, limitando el impacto de XSS y de inyecciones de datos.
¿Cómo defenderse de Política de Seguridad de Contenidos (CSP)?
Las defensas contra Política de Seguridad de Contenidos (CSP) combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.
¿Cuáles son otros nombres para Política de Seguridad de Contenidos (CSP)?
Nombres alternativos comunes: CSP.