Content Security Policy (CSP)

Advanced Ecosystem 🟡 Mid

Definition

En-tête HTTP qui restreint les sources autorisées pour les scripts, styles, images et autres ressources. Principale défense contre les attaques XSS.

Analogie

Une liste blanche à l'entrée d'un club VIP : seules les sources approuvées peuvent entrer et s'exécuter.

Exemple de code

// CSP Header
Content-Security-Policy:
  default-src 'self';
  script-src 'self' 'nonce-abc123';
  style-src 'self' 'unsafe-inline';
  img-src 'self' https://cdn.example.com;
  connect-src 'self' https://api.example.com;

Cas d'usage

Empêcher l'exécution de scripts malicieux injectés dans la page (XSS, injection de publicités).

Anti-pattern

Utiliser 'unsafe-inline' et 'unsafe-eval' dans script-src, annulant toute la protection CSP.

Termes lies

#security#web