¿Qué es una política de seguridad de contenido?

Una política de seguridad de contenido (CSP) es un mecanismo que permite a los desarrolladores web aumentar la seguridad de sus sitios web. Al establecer una política de seguridad de contenido, los desarrolladores web pueden indicar a los navegadores web que solo carguen recursos de determinados dominios de confianza, aplicar conexiones HTTPS seguras e incluso informar sobre infracciones de políticas a medida que se producen. Esto puede evitar muchas vulnerabilidades de inyección de contenido y secuencias de comandos entre sitios (XSS), que suelen provocar fugas de datos, vandalismo en sitios web y distribución de malware.

Las políticas se transmiten al navegador web configurando el Content-Security-Policyencabezado HTTP o incluyendo una meta http-equiv="Content-Security-Policy" ... etiqueta en el código fuente HTML del sitio. Los datos reales de la política son una cadena de texto, compuesta por una o más directivas que especifican las restricciones y configuraciones deseadas.

Para obtener más información sobre las políticas de seguridad de contenido y su implementación en aplicaciones de producción, consulte los siguientes recursos:

• Política de seguridad de contenido Especificación W3C
• Cómo proteger las aplicaciones Node.js con una política de seguridad de contenido