En ciberseguridad, CSP (Política de seguridad de contenidos)o estrategia de seguridad de contenidos, es una técnica para mejorar la seguridad de los sitios web.
Se trata de un mecanismo de seguridad web que permite a los administradores de sitios web especificar qué fuentes de contenido están autorizadas a ser cargadas por el navegador. Su objetivo es evitar una amplia gama de ataques, entre ellos los de secuencias de comandos en sitios cruzados (XSS), l'inyección y la ejecución de scripts maliciosos.
Ventajas de la ESTC
- Protección contra secuencias de comandos en sitios cruzados (XSS) impide la ejecución de scripts no aprobados.
- Mayor seguridad Reduce los vectores de ataque restringiendo los recursos externos.
- Detección y notificación de intentos de intrusión CSP: se pueden notificar errores de CSP, lo que permite detectar intentos de ataque.
Ejemplo de CSP
CSP se implementa generalmente mediante el envío de un encabezado HTTP específico, como por ejemplo Política de seguridad de contenidoscon directivas de seguridad definidas. Una directiva CSP típica podría tener este aspecto, especificando que sólo se permiten scripts y estilos del mismo dominio, así como imágenes de todos los dominios HTTPS:
Content-Security-Policy: default-src 'self'; img-src https:; script-src 'self'; style-src 'self';
