_CORE
Services
AI & Agentic Systems Core Information Systems Cloud & Platform Engineering Data Platform & Integration Security & Compliance QA, Testing & Observability IoT, Automation & Robotics Mobile & Digital
Industries
Banking & Finance Insurance Public Administration Defense & Security Healthcare Energy & Utilities Telco & Media Manufacturing Logistics & E-commerce Retail & Loyalty
References Technologies
Lab
Blog Know-how Tools
About Collaboration Careers
Language
CS EN
Let's talk

Content Security Policy (CSP) — A Practical Guide

15. 10. 2022 1 min read intermediate

CSP říká prohlížeči, odkud smí načítat skripty, styly, obrázky. Správně nastavený CSP zastaví většinu XSS útoků.

Základní CSP

Content-Security-Policy: default-src ‘self’; script-src ‘self’ ‘nonce-abc123’; style-src ‘self’ ‘unsafe-inline’; img-src ‘self’ data: https:; connect-src ‘self’ https://api.example.com; frame-ancestors ‘none’;

Nonce-based CSP

import secrets @app.after_request def add_csp(response): nonce = secrets.token_urlsafe(32) response.headers[‘Content-Security-Policy’] = f”script-src ‘self’ ‘nonce-{nonce}’” return response

Postupné nasazení

  1. Report-Only s permisivní politikou
  2. Analyzujte reporty
  3. Zpřísněte politiku
  4. Přepněte na enforcement
  5. Monitorujte reporty

Key Takeaway

CSP je nejúčinnější obrana proti XSS. Začněte s Report-Only, postupně zpřísňujte.

securitycspxssheaders
Share:

CORE SYSTEMS tým

Stavíme core systémy a AI agenty, které drží provoz. 15 let zkušeností s enterprise IT.

Všechny články

Další know-how

XSS prevence — Cross-Site Scripting ochrana

Stored, Reflected a DOM-based XSS. Sanitizace, CSP, encoding.

HTTP Security Headers — Complete Overview

All important security HTTP headers in one place.

SSL/TLS certificates in Java applications

Managing SSL certificates in Java keystores. Keytool, truststore, mutual TLS and common HTTPS problems.