Secure Content Security Policy
Politique de Sécurité de Contenu Sécurisée
Description
Une politique de sécurité de contenu (CSP) est considérée comme sécurisée lorsqu'elle restreint efficacement les sources de contenu pouvant être chargées par le navigateur, réduisant ainsi le risque d'attaques telles que le Cross-Site Scripting (XSS). Une CSP bien définie comprend des directives qui limitent l'origine du chargement des scripts, styles et autres ressources.
Une CSP sécurisée pourrait ressembler à ceci :
http request
Content-Security-Policy: default-src 'self'; script-src 'self' https://trustedscripts.example.com 'nonce-abcdef'; style-src 'self' 'sha256-xyz'; object-src 'none'; base-uri 'self'; frame-ancestors 'none';
Cette politique autorise uniquement le contenu provenant de la même origine et d'une source fiable tout en interdisant les objets intégrés et le framing.
Recommandation
L'implémentation est sécurisée, aucune recommandation ne s'applique.