Comment la politique de sécurité du contenu (CSP) protège-t-elle contre les attaques de script intersite (XSS) ?

Fonctionnement de la politique de sécurité du contenu (CSP)

En réponse à l'abondance d'erreurs liées au CSP que vous avez rencontrées, cet article vise pour élucider le fonctionnement de la politique de sécurité du contenu et fournir des conseils pratiques sur son utilisation efficace.

Qu'est-ce que CSP ?

La politique de sécurité du contenu (CSP) sert de navigateur- fonctionnalité de sécurité latérale conçue pour atténuer le risque d’attaques de script intersite (XSS). Cette stratégie vous permet de définir des sources autorisées pour le chargement de ressources telles que des scripts, des feuilles de style et des images, empêchant ainsi les navigateurs de récupérer des données à partir d'emplacements non autorisés.

Utilisation de l'en-tête HTTP Content-Security-Policy

Pour implémenter CSP sur votre site Web, vous pouvez exploiter l'en-tête HTTP Content-Security-Policy, qui contient une balise méta qui configure les paramètres de la politique. Cette balise méta inclut la propriété content, qui définit les directives de la politique et les règles d'autorisation de la source.

Réponse à vos requêtes

Explorons les questions que vous avez soulevées :

1. Sources multiples :

Pour autoriser les ressources provenant de plusieurs sources, répertoriez-les simplement sous forme de valeurs séparées par des espaces après la directive :

content="default-src 'self' https://example.com/js/"

2. Diverses directives :

Les directives courantes incluent :

• default-src : stratégie par défaut pour le chargement de diverses ressources
• script-src : sources valides pour les fichiers JavaScript
• style-src : Sources valides pour les fichiers CSS
• img-src : Sources valides pour les images

3. Directives multiples :

Combinez les directives au sein d'une seule balise méta en utilisant des points-virgules comme séparateurs :

content="default-src 'self' https://example.com/js/; style-src 'self'"

4. Gestion des ports :

Autoriser explicitement les ports autres que ceux par défaut en ajoutant le numéro de port ou un astérisque :

content="default-src 'self' https://ajax.googleapis.com http://example.com:123/free/stuff/"

5. Gestion des protocoles :

Autoriser explicitement les protocoles autres que ceux par défaut :

content="default-src 'self'; connect-src ws:; style-src 'self'"

6. file:// Protocole :

Autoriser le protocole file:// en utilisant le paramètre du système de fichiers :

content="default-src filesystem"

7. Styles et scripts en ligne :

Pour activer les styles, scripts et balises en ligne, utilisez le paramètre « unsafe-inline » :

content="script-src 'unsafe-inline'; style-src 'unsafe-inline'"

8. Invocation eval() :

Autoriser eval() en utilisant le paramètre 'unsafe-eval' :

content="script-src 'unsafe-eval'"

9. Interprétation « soi » :

« soi » désigne des ressources partageant le même protocole, le même hôte et le même port que le fichier dans lequel la politique de contenu est définie :

content="default-src https://example.com"

Veuillez noter que 'self' n'autorise pas les protocoles non sécurisés comme http ou les fichiers locaux.

Conseils supplémentaires :

• Évitez d'utiliser content="default-src *" car cela permet l'intégration et les évaluations, créant ainsi des vulnérabilités de sécurité.
• Il est conseillé de spécifier à la fois des sources sécurisées (https) et non sécurisées (http) pour les retours compatibilité.
• Utilisez Content-Security-Policy-Report-Only pour tester la mise en œuvre de CSP sans l'appliquer initialement.
• Surveillez les journaux d'erreurs du navigateur pour détecter les violations des règles.

Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!