Политика безопасности контента (CSP)
Что такое Политика безопасности контента (CSP)?
Политика безопасности контента (CSP)HTTP-заголовок ответа, указывающий браузеру, какие источники скриптов, стилей, фреймов и других ресурсов допустимы, что снижает последствия XSS и инъекций данных.
CSP передаётся заголовком ответа 'Content-Security-Policy' (или meta-элементом) и задаёт детальный allow-list по типам ресурсов: 'script-src', 'style-src', 'img-src', 'connect-src', 'frame-ancestors' и др. Современная строгая CSP опирается на nonce или хеши, а не на списки хостов: внедрённый скрипт без правильного nonce просто не выполняется. CSP блокирует inline-обработчики событий, по умолчанию отключает 'eval' и сообщает о нарушениях через 'report-to'. Это эшелонированная защита, существенно снижающая последствия XSS, кликджекинга (через 'frame-ancestors') и mixed content, но она не заменяет валидацию ввода и кодирование вывода.
● Примеры
- 01
Заголовок: 'Content-Security-Policy: script-src 'self' 'nonce-r4nd0m'; object-src 'none'; base-uri 'none'; frame-ancestors 'none'.
- 02
Режим отчётов: 'Content-Security-Policy-Report-Only' для тестирования более строгой политики до её включения.
● Частые вопросы
Что такое Политика безопасности контента (CSP)?
HTTP-заголовок ответа, указывающий браузеру, какие источники скриптов, стилей, фреймов и других ресурсов допустимы, что снижает последствия XSS и инъекций данных. Относится к категории Безопасность приложений в кибербезопасности.
Что означает Политика безопасности контента (CSP)?
HTTP-заголовок ответа, указывающий браузеру, какие источники скриптов, стилей, фреймов и других ресурсов допустимы, что снижает последствия XSS и инъекций данных.
Как защититься от Политика безопасности контента (CSP)?
Защита от Политика безопасности контента (CSP) обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия Политика безопасности контента (CSP)?
Распространённые альтернативные названия: CSP.