En cybersécurité, le CSP (Content Security Policy), ou stratégie de sécurité du contenu, est une technique qui permet d’améliorer la sécurité des sites web.
C’est un mécanisme de sécurité web qui permet aux administrateurs de sites web de spécifier quelles sources de contenu sont autorisées à être chargées par le navigateur. Elle vise à prévenir un large éventail d’attaques, notamment les attaques de type cross-site scripting (XSS), l’injection de données et l’exécution de scripts malveillants.
Bénéfices de la CSP
- Protection contre le Cross-Site Scripting (XSS) : évite l’exécution de scripts non approuvés.
- Renforcement de la sécurité : diminue les vecteurs d’attaque en restreignant les ressources externes.
- Détection et rapport des tentatives d’intrusion : les erreurs de CSP peuvent être signalées, permettant de détecter des tentatives d’attaque.
Exemple de CSP
La CSP est généralement mise en œuvre en envoyant un en-tête HTTP spécifique, tel que Content-Security-Policy
, avec les directives de sécurité définies. Lorsqu’un navigateur supportant CSP reçoit cet en-tête, il applique les règles spécifiées pour sécuriser le chargement et l’exécution du contenu.Une directive CSP typique peut ressembler à ceci, spécifiant que seuls les scripts et styles provenant du même domaine sont autorisés, ainsi que les images de tous les domaines HTTPS :
Content-Security-Policy: default-src 'self'; img-src https:; script-src 'self'; style-src 'self';