In cyberbeveiliging, CSP (inhoudbeveiligingsbeleid)of contentbeveiligingsstrategie, is een techniek om de beveiliging van websites te verbeteren.
Dit is een webbeveiligingsmechanisme waarmee websitebeheerders kunnen opgeven welke inhoudsbronnen door de browser mogen worden geladen. Het is bedoeld om een groot aantal aanvallen te voorkomen, waaronder cross-site scripting (XSS), l'injectie en het uitvoeren van kwaadaardige scripts.
Voordelen van CSP
- Bescherming tegen Cross-Site Scripting (XSS) voorkomt het uitvoeren van niet-goedgekeurde scripts.
- Verbeterde veiligheid Vermindert aanvalsvectoren door externe bronnen te beperken.
- Detectie en rapportage van inbraakpogingen CSP: CSP-fouten kunnen worden gerapporteerd, waardoor pogingen tot aanvallen kunnen worden opgespoord.
Voorbeeld van CSP
CSP wordt over het algemeen geïmplementeerd door een specifieke HTTP-header te verzenden, zoals Inhoud-beveiligingsbeleidheader, met beveiligingsrichtlijnen gedefinieerd. Een typische CSP-richtlijn zou er zo uit kunnen zien, die specificeert dat alleen scripts en stijlen van hetzelfde domein zijn toegestaan, evenals afbeeldingen van alle HTTPS-domeinen:
Content-Security-Policy: default-src 'self'; img-src https:; script-src 'self'; style-src 'self';
