Content Security Policy

Un article de Wikipédia, l'encyclopédie libre.
Aller à : navigation, rechercher
Ce modèle est-il pertinent ? Cliquez pour en voir d'autres.
Cet article ou cette section est à actualiser (Dernière mise à jour : 15 juin 2013) (indiquez la date de pose grâce au paramètre date).

Des passages de cet article sont obsolètes ou annoncent des événements désormais passés. Améliorez-le ou discutez des points à vérifier. Vous pouvez également préciser les sections à actualiser en utilisant {{section à actualiser}}.

Content Security Policy (abrégé CSP) est un mécanisme de sécurité permettant de restreindre l'origine du contenu (tel qu'un script Javascript, une feuille de style etc.) dans une page web à certains sites autorisés. Cela permet de mieux se prémunir d'une éventuelle faille XSS.

Les navigateurs ne supportant pas cette spécification ignorent simplement l'en-tête, cela est donc transparent pour le visiteur. À l'heure actuelle, seuls Mozilla Firefox et Google Chrome prennent pleinement en charge la spécification.

Il s'agit d'une Candidate Recommendation du W3C depuis le 15 novembre 2012.

Techniquement, le site internet envoie la liste des sites autorisés (sous forme de liste de noms de domaine) via l'en-tête HTTP Content-Security-Policy.

Références[modifier | modifier le code]