Entendendo a política de segurança do conteúdo (csp)

introdução

Política de segurança de conteúdo (CSP) é um mecanismo de segurança que permite os desenvolvedores da web para especificar. Ao restringir a origem dos recursos, o CSP ajuda a proteger contra vários ataques, como scripts cruzados (XSS) e exfiltração de dados. O conteúdo desta meta-tag contém diretrizes que definem as fontes permitidas para o carregamento de recursos. Esses diretivos normalmente especificam o seguinte:

origem de origem: o domínio ou host a partir do qual os recursos podem ser carregados. Tipo de recurso específico, como scripts, folhas de estilo, imagens ou solicitações AJAX. http-equiv = "content-security-policy" content = "diretives">

respondendo a perguntas específicas

1. Permitindo múltiplas fontes:
• para permitir várias fontes, basta separá-las com um espaço na propriedade de conteúdo:
• content = "default-src 'self' https://example.com/js/js/" & &&/201S 'https://example.com/js/" Usando diretivas diferentes:

Cada diretiva especifica um tipo de recurso específico. Diretivas comuns incluem:

default-src: Política padrão para todos os recursos

script-src: fontes válidas para arquivos javascript

style-src: fontes válidas para fontes css

[] im img-sr: fontes válidas para fontes css []

im img-sr: fontes válidas para fontes css

im im ids Imagens

3. Usando múltiplas diretivas:

múltiplas diretivas podem ser usadas separando-as com um semicolon (;): content = "default-src 'self'; style-src 'self'"

4. Portas de manuseio:

As portas devem ser explicitamente permitidas:
content = "default-src 'self' https://example.com:123/"
• protocolos que não sejam http/https devem ser permitidos explicitamente:

content = "Connect-src ws:;"

6. Permitindo o protocolo do arquivo:

permitindo o arquivo: // protocolo requer o uso do parâmetro do sistema de arquivos:

content = "padrão-src fileSystem"

7. Permitindo estilos e scripts embutidos:

para permitir conteúdo embutido, use inseguro-inline:

content = "script-src 'unsefe-inline'; style-src 'unsafe-inline'"

Permitindo avaliar ():

para permitir avaliar (), use insegure-eval:

content = "script-src 'insefe-eval'"

9. Significado de 'Self':

'self' refere -se a recursos originários do mesmo esquema, host e porta como a página em que a política CSP é definida. Compreender e implementar cuidadosamente as políticas de CSP é essencial para garantir a integridade e a segurança dos aplicativos da Web.