Какие существуют CSP directives?

Что такое CSP директивы?

Content Security Policy (CSP) — это механизм безопасности, который позволяет веб-разработчикам контролировать, какие ресурсы могут загружаться и выполняться на их страницах. CSP директивы — это правила, которые указываются в HTTP-заголовке Content-Security-Policy или в meta-теге. Они помогают предотвратить атаки межсайтового скриптинга (XSS) и другие инъекции.

Основные директивы

• default-src — задаёт базовое правило для всех типов ресурсов, если не указана более конкретная директива.
• script-src — определяет разрешённые источники для JavaScript.
• style-src — контролирует загрузку CSS.
• img-src — разрешает источники для изображений.
• connect-src — управляет сетевыми запросами (fetch, XMLHttpRequest).
• font-src — задаёт источники для шрифтов.
• frame-src — определяет, какие источники могут быть встроены в iframe.
• object-src — контролирует загрузку плагинов (например, Flash).

Пример использования

Content-Security-Policy: default-src 'self'; script-src 'self' https://apis.google.com; style-src 'self' 'unsafe-inline'; img-src *;

В этом примере разрешены только собственные ресурсы, скрипты с Google APIs, инлайн-стили и изображения из любых источников.

Вывод

CSP директивы — мощный инструмент для повышения безопасности веб-приложений. Их стоит применять в любом проекте, где важна защита от XSS и контроль над загружаемыми ресурсами.