Content Security Policy (CSP) - это механизм безопасности, который позволяет контролировать и ограничивать ресурсы, которые могут быть загружены на веб-страницу. CSP позволяет уменьшить риски нарушения безопасности, связанные с межсайтовыми скриптами (XSS), выполнением несанкционированного кода (Code Injection) и другими атаками, которые могут быть осуществлены через веб-страницу.
CSP позволяет настроить политику безопасности для каждой веб-страницы, определяя, какие ресурсы могут быть загружены и откуда они могут быть загружены. Политика CSP задается через HTTP-заголовок Content-Security-Policy или meta-тег в HTML-коде страницы.
Пример политики CSP, которая разрешает загрузку изображений только с того же домена:
Content-Security-Policy: img-src 'self';Пример политики CSP, которая разрешает загрузку скриптов только из того же домена и Google Analytics:
Content-Security-Policy: script-src 'self' www.google-analytics.com;CSP позволяет также задавать различные политики для разных типов ресурсов, например, для изображений, скриптов, стилей, медиа-ресурсов и других.
CSP предоставляет много возможностей для улучшения безопасности веб-приложений, включая защиту от XSS-атак, выполнения вредоносного кода, защиту от сетевых атак и других угроз. Однако, настройка CSP может быть сложной задачей, которая требует тщательного тестирования и согласования с требованиями вашего веб-приложения.