Content Security Policy

Un article de Wikipédia, l'encyclopédie libre.
Aller à : navigation, rechercher

Content Security Policy (abrégé CSP) est un mécanisme de sécurité permettant de restreindre l'origine du contenu (tel qu'un script Javascript, une feuille de style etc.) dans une page web à certains sites autorisés. Cela permet de mieux se prémunir d'une éventuelle faille XSS.

Les navigateurs ne supportant cette spécification ignorent simplement l'en-tête, cela est donc transparent pour le visiteur. À l'heure actuelle, seuls Mozilla Firefox et Google Chrome prennent pleinement en charge la spécification.

Il s'agit d'une Candidate Recommendation du W3C depuis le 15 novembre 2012.

Techniquement, le site internet envoie la liste des sites autorisés (sous forme de liste de noms de domaine) via l'en-tête HTTP Content-Security-Policy.

Références[modifier | modifier le code]