Skip to content
Vol. 1 · Ed. 2026
CyberGlossary
Français
Entry № 240

Politique de sécurité du contenu (CSP)

Vérifié parCybersecurity entrepreneur & security researcher

Qu'est-ce que Politique de sécurité du contenu (CSP) ?

Politique de sécurité du contenu (CSP)En-tête HTTP indiquant au navigateur quelles sources de scripts, styles, cadres et autres contenus sont autorisées, limitant l'impact des XSS et des injections de données.

La CSP est délivrée via l'en-tête « Content-Security-Policy » (ou un élément « meta ») et applique une liste blanche fine par type de ressource : « script-src », « style-src », « img-src », « connect-src », « frame-ancestors », etc. Les CSP modernes strictes reposent sur des nonces ou des hashes plutôt que sur des listes d'hôtes : un script injecté sans le bon nonce ne s'exécute simplement pas. La CSP bloque aussi les gestionnaires d'événements en ligne, désactive « eval » par défaut et peut signaler les violations via « report-to ». C'est une mesure de défense en profondeur qui réduit fortement l'impact des XSS, du clickjacking (via « frame-ancestors ») et du contenu mixte, sans remplacer la validation des entrées et l'encodage des sorties.

Exemples

  1. 01

    En-tête : « Content-Security-Policy: script-src 'self' 'nonce-r4nd0m'; object-src 'none'; base-uri 'none'; frame-ancestors 'none' ».

  2. 02

    Politique en mode rapport : « Content-Security-Policy-Report-Only » pour tester une CSP plus stricte avant application.

Questions fréquentes

Qu'est-ce que Politique de sécurité du contenu (CSP) ?

En-tête HTTP indiquant au navigateur quelles sources de scripts, styles, cadres et autres contenus sont autorisées, limitant l'impact des XSS et des injections de données. Cette notion relève de la catégorie Sécurité applicative en cybersécurité.

Que signifie Politique de sécurité du contenu (CSP) ?

En-tête HTTP indiquant au navigateur quelles sources de scripts, styles, cadres et autres contenus sont autorisées, limitant l'impact des XSS et des injections de données.

Comment se défendre contre Politique de sécurité du contenu (CSP) ?

Les défenses contre Politique de sécurité du contenu (CSP) combinent habituellement des contrôles techniques et des pratiques opérationnelles, comme détaillé dans la définition ci-dessus.

Quels sont les autres noms de Politique de sécurité du contenu (CSP) ?

Noms alternatifs courants : CSP.

Termes liés

Voir aussi