Skip to content
Vol. 1 · Ed. 2026
CyberGlossary
Português
Entry № 240

Política de Segurança de Conteúdo (CSP)

Revisado porCybersecurity entrepreneur & security researcher

O que é Política de Segurança de Conteúdo (CSP)?

Política de Segurança de Conteúdo (CSP)Cabeçalho HTTP que informa ao navegador quais origens de scripts, estilos, frames e outros conteúdos são permitidas, limitando o impacto de XSS e injeções de dados.

A CSP é entregue pelo cabeçalho 'Content-Security-Policy' (ou por um elemento 'meta') e impõe uma allow-list granular por tipo de recurso: 'script-src', 'style-src', 'img-src', 'connect-src', 'frame-ancestors' e outros. CSPs estritas modernas se baseiam em nonces ou hashes em vez de listas de hosts, então scripts injetados sem o nonce correto simplesmente não executam. CSP também bloqueia handlers inline, desabilita 'eval' por padrão e reporta violações via 'report-to'. É uma medida de defesa em profundidade que reduz fortemente o impacto de XSS, clickjacking (com 'frame-ancestors') e conteúdo misto, mas não substitui validação de entrada e codificação de saída.

Exemplos

  1. 01

    Cabeçalho: 'Content-Security-Policy: script-src 'self' 'nonce-r4nd0m'; object-src 'none'; base-uri 'none'; frame-ancestors 'none'.

  2. 02

    Modo de relatório: 'Content-Security-Policy-Report-Only' para testar uma CSP mais estrita antes de aplicá-la.

Perguntas frequentes

O que é Política de Segurança de Conteúdo (CSP)?

Cabeçalho HTTP que informa ao navegador quais origens de scripts, estilos, frames e outros conteúdos são permitidas, limitando o impacto de XSS e injeções de dados. Pertence à categoria Segurança de aplicações da cibersegurança.

O que significa Política de Segurança de Conteúdo (CSP)?

Cabeçalho HTTP que informa ao navegador quais origens de scripts, estilos, frames e outros conteúdos são permitidas, limitando o impacto de XSS e injeções de dados.

Como se defender contra Política de Segurança de Conteúdo (CSP)?

As defesas contra Política de Segurança de Conteúdo (CSP) costumam combinar controles técnicos e práticas operacionais, conforme detalhado na definição acima.

Quais são outros nomes para Política de Segurança de Conteúdo (CSP)?

Nomes alternativos comuns: CSP.

Termos relacionados

Ver também