Content Security Policy

Un article de Wikipédia, l'encyclopédie libre.
Sauter à la navigation Sauter à la recherche
Page d'aide sur l'homonymie Pour les articles homonymes, voir CSP.

Content Security Policy (abrégé CSP) est un mécanisme de sécurité standardisé permettant de restreindre l'origine du contenu (tel qu'un script Javascript, une feuille de style etc.) dans une page web à certains sites autorisés. Il permet notamment de mieux se prémunir contre des attaques d'injection de code comme les attaques par cross-site scripting (abrégé XSS) ou par détournement de clic. Ces attaques se reposant essentiellement sur l'exécution de code malveillant sur un site où l'utilisateur se sent en confiance.

La plupart des navigateurs modernes supportent ce mécanisme dans sa première version.[1] Ceux ne supportant pas cette spécification ignorent simplement l'en-tête, cela est donc transparent pour le visiteur.

La version 3 de ce mécanisme est Candidate Recommendation du W3C[2].

Techniquement, le site internet envoie la liste des sites autorisés (sous forme de liste de noms de domaine) via l'en-tête HTTP Content-Security-Policy.

Références[modifier | modifier le code]

  1. (en) « Content Security Policy 1.0 », sur caniuse.com (consulté le 17 décembre 2018)
  2. (en) « Content Security Policy Level 3 - W3C Working Draft », sur w3.org, (consulté le 17 décembre 2018)