Content-Security-Policy (CSP)
Content-Security-Policy (CSP) to zestaw reguł które blokują pobieranie skryptów z zewnątrz. CSP określa jedynie dozwolone zasoby. W przypadku gdy dany zasób nie jest określony w CSP, wtedy nie zostanie wczytany.
Należy zawsze skonfigurować serwer tak, aby zwracał nagłówek Content-Security-Policy (CSP) w trybie aktywnym w odpowiedziach HTTP.
Polityka CSP dostosowana do wymagań aplikacji, kontroluje:
- default-src – Domyślne źródło zasobów.
- script-src – Dopuszczalne źródła skryptów.
- style-src – Dopuszczalne źródła stylów.
- img-src – Dopuszczalne źródła obrazów.
- Szczegóły