Что такое Content Security Policy (CSP) и как он связан с безопасностью?

Что такое Content Security Policy (CSP)?

Content Security Policy (CSP) — это стандарт безопасности, реализуемый через HTTP-заголовок Content-Security-Policy. Он позволяет разработчику указать браузеру, какие источники контента (скрипты, стили, шрифты и т.д.) считаются доверенными. CSP эффективно защищает от межсайтового скриптинга (XSS) и других инъекций, ограничивая выполнение неавторизованного кода.

Как это работает?

Браузер, получив заголовок CSP, проверяет каждый загружаемый ресурс на соответствие заданным правилам. Если ресурс не соответствует политике, он блокируется. Например, директива script-src 'self' разрешает выполнение только скриптов с того же домена, что и страница. Это предотвращает выполнение встроенных скриптов или скриптов с внешних сайтов, которые могут быть вредоносными.

Пример использования

Рассмотрим простой пример настройки CSP в HTML через мета-тег:

<meta http-equiv="Content-Security-Policy" content="default-src 'self'; script-src 'self' https://apis.example.com; style-src 'self' 'unsafe-inline';">

Здесь default-src 'self' задаёт базовое правило — разрешены только ресурсы с текущего домена. script-src дополнительно разрешает скрипты с https://apis.example.com, а style-src позволяет встроенные стили ('unsafe-inline').

Где применяется?

CSP используется в веб-приложениях для усиления безопасности, особенно в системах с пользовательским контентом (форумы, блоги, CRM). Он также обязателен для соответствия стандартам безопасности, например, PCI DSS.

Вывод

CSP — это мощный инструмент для предотвращения XSS-атак и контроля загрузки ресурсов. Его стоит применять в любом веб-приложении, где важна безопасность, особенно при работе с динамическим контентом или сторонними библиотеками.