Какие угрозы решает CSP?

Что такое CSP и какие угрозы он решает?

Content Security Policy (CSP) — это механизм безопасности, реализованный через HTTP-заголовок, который позволяет веб-разработчикам контролировать, какие ресурсы могут загружаться и выполняться на их страницах. Основная цель CSP — защита от атак межсайтового скриптинга (XSS) и других видов инъекций контента.

Основные угрозы, которые решает CSP:

• XSS (Cross-Site Scripting) — атаки, при которых злоумышленник внедряет вредоносный скрипт на страницу. CSP блокирует выполнение инлайн-скриптов и скриптов из недоверенных источников.
• Clickjacking — атаки, при которых пользователя обманом заставляют кликнуть на скрытый элемент. CSP может запретить встраивание страницы в iframe.
• Data injection — внедрение вредоносных данных через формы или URL. CSP ограничивает источники, с которых можно загружать данные.

Как работает CSP?

CSP задаётся через HTTP-заголовок Content-Security-Policy и содержит директивы, определяющие разрешённые источники для различных типов контента. Например:

Content-Security-Policy: default-src 'self'; script-src 'self' https://trusted.cdn.com; style-src 'self' 'unsafe-inline';

В этом примере:

• default-src 'self' — разрешает загрузку всех ресурсов только с того же домена.
• script-src 'self' https://trusted.cdn.com — разрешает скрипты только с собственного домена и указанного CDN.
• style-src 'self' 'unsafe-inline' — разрешает инлайн-стили (но это не рекомендуется для безопасности).

Пример атаки XSS и защиты с помощью CSP

Предположим, на странице есть уязвимость, позволяющая вставить скрипт:

<script>alert('XSS')</script>

Без CSP этот скрипт выполнится. С CSP, если директива script-src не разрешает инлайн-скрипты, браузер заблокирует его выполнение и покажет ошибку в консоли.

Вывод

CSP — это мощный инструмент для защиты веб-приложений от XSS и других атак, связанных с инъекциями контента. Его следует применять на всех продакшн-сайтах, особенно тех, которые обрабатывают пользовательский ввод или используют сторонние скрипты. Правильная настройка CSP требует баланса между безопасностью и функциональностью, но даже базовая конфигурация значительно снижает риски.