Politique de sécurité de contenu

L'en-tête de réponse HTTP Content-Security-Policy permet aux administrateurs d'un site web de contrôler les ressources que l'agent utilisateur est autorisé à charger pour une page donnée. Bien qu'il y ait quelques exceptions, ces règles impliquent la plupart du temps de définir les origines du serveur et les points d'accès pour les scripts. Cet en-tête aide à se protéger contre les attaques de cross-site scripting (XSS (en-US)).

Pour plus d'informations, voir cet article sur Content Security Policy (CSP).

Type d'en-tête En-tête de réponse
Nom d'en-tête interdit Non

Syntaxe

Content-Security-Policy: <policy-directive>; <policy-directive>

Directives

Directives de récupération (fetch)

Les directives de récupération (ou fetch directives en anglais) contrôlent les emplacements à partir desquels certains types de ressource peuvent être chargés.

child-src

Définit les sources valides pour les web workers et les éléments qui représentent des contextes de navigation imbriqués tels que <frame> et <iframe>.

Attention : Plutôt que la directive child-src, si vous souhaitez réguler les contextes de navigation imbriqués et les workers séparément, vous pouvez utiliser respectivement les directives frame-src et worker-src.

connect-src

Restreint les URL qui peuvent être chargées via des scripts.

default-src

Représente la valeur par défaut des directives de récupération qui ne sont pas définies explicitement.

font-src

Définit les sources valides pour les polices de caractères chargées depuis @font-face.

frame-src

Définit les sources valides pour les éléments qui représentent des contextes de navigation imbriqués, tels que <frame> et <iframe>.

img-src

Définit les sources valides pour les images et les favicons.

manifest-src

Définit les sources valides pour les fichiers de manifeste d'application.

media-src

Définit les sources valides pour les ressources média des éléments <audio> et <video>.

object-src

Définit les sources valides pour les ressources des éléments <object>, <embed> et <applet>.

Note : Les éléments contrôlés pa ar object-src sont considérés peut-être par coïcidence comme des éléments HTML du passé et ne recevront de nouvelles fonctionnalités normalisées (comme les attributs de sécurité sandbox et allow pour <iframe>). De ce fait, il est recommandé de restreindre cette directive, c'est-à-dire la définir explicitement à object-src 'none' dans la mesure du possible.

prefetch-src

Définit .

script-src

Définit les sources valides pour les fichiers JavaScript.

script-src-elem Expérimental

Définit les sources valides de code JavaScript chargé avec l'élément <script>.

script-src-attr Expérimental

Définit les sources valides de JavaScript pour les écouteurs d'évènements par les attributs on<eventName>.

style-src

Définit les sources valides pour les feuilles de styles.

style-src-elem Expérimental

Définit les sources valides pour les feuilles de styles définies avec l'élément <style> ou chargées avec l'élément <link> ayant l'attribut rel="stylesheet".

style-src-attr Expérimental

Définit les sources valides pour les feuilles de styles embarquées appliquées à des éléments individuels du DOM par l'attribut style.

worker-src

Définit les sources valides pour les scripts des Worker, SharedWorker et ServiceWorker.

Directives de document

Les directives de document permettent de paramétrer les propriétés d'un document ou d'un environnement pour un web worker auquel une règle de sécurité s'applique.

base-uri

Restreint les URL qui peuvent être utilisées au sein de l'élément <base> d'un document.

plugin-types

Restreint le type de plugin qui peut être intégré dans un document en limitant le type de ressource qui peut être chargé.

sandbox

Active un bac-à-sable (sandbox) pour la ressource visée. Cela fonctionne de façon analogue à l'attribut sandbox de <iframe>.

Directives de navigation

Les directives de navigation permettent par exemple de paramétrer les emplacements vers lesquels l'utilisateur peut naviguer ou envoyer un formulaire.

form-action

Restreint les URL qui peuvent être utilisées comme cibles pour envoyer des formulaires depuis un contexte donné.

frame-ancestors

Définit les parent valides qui peuvent intégrer une page grâce aux éléments <frame>, <iframe>, <object>, <embed>, ou <applet>.

Restreint les URL vers lesquelles on peut naviguer depuis un document, quel que soit le moyen de navigation (un lien, un formulaire, window.location, window.open, etc.)

Directives de rapport

Les directives de rapport permettent de contrôler ce qui se passe lorsqu'une règle CSP est violée. Voir également l'en-tête Content-Security-Policy-Report-Only.

report-uri Obsolète

Indique à l'agent utilisateur de rapporter les tentatives d'enfreintes du CSP. Un rapport d'enfreinte est un ensemble de documents JSON envoyés via une requête HTTP POST à l'URI indiquée.

Attention : Bien que la directive report-to est prévue remplacer la directive report-uri maintenant dépréciée, report-to n'est pas encore supportée par la plupart des navigateurs modernes. Par rétrocompatibilité avec les navigateurs courants et tout en prévoyant une compatibilité future quand les navigateurs supporteront report-to, vous pouvez spécifier les deux directives report-uri et report-to:

Content-Security-Policy: ...; report-uri https://endpoint.com; report-to groupname

Dans les navigateurs qui supportent report-to, la directive report-uri sera ignorée.

report-to Expérimental

Déclenche un évènement SecurityPolicyViolationEvent.

Autres directives

block-all-mixed-content

Empêche le chargement de toute ressource via HTTP lorsque la page est chargée avec HTTPS.

referrer Obsolète Non-standard

Referrer-Policy doit être utilisé à la place. Était utilisée pour indiquer l'en-tête référent (sic) pour les liens sortants.

require-sri-for Expérimental

Oblige à utiliser le contrôle d'intégrité des sous-ressources (SRI) pour les scripts ou les styles de la page.

trusted-types Expérimental

Utilisée pour spécifier une liste de permissions de règles de Trusted Types. Les Trusted Types permettent à des applications de verrouiller les puits d'injection XSS dans le DOM pour n'accepter que des valeurs typées et non falsifiables plutôt que des chaines de caractères.

upgrade-insecure-requests

Indique à l'agent utilisateur de considérer toutes les URL non-sécurisées d'un site (celles servies via HTTP) comme si elles avaient été remplacées par des URL sécurisées. Cette directive est destinée aux sites web qui ont de nombreuses URL historiques non-sécurisées et qui doivent être réécrites.

Utilisation du CSP dans les web workers

En général, les web workers ne sont pas gérés par les règles de sécurité du contenu du document (ou du worker parent) qui les a créé. Pour indiquer une règle de sécurité du contenu pour le worker, on utilisera un en-tête de réponse Content-Security-Policy pour la requête qui a demandé le script du worker.

Il y a une exception à cette règle lorsque l'origine du script d'un worker est un identifiant global unique (par exemple si l'URL utilise un schéma de donnée ou un blob). Dans ce cas, le worker hérite de la règle de sécurité du contenu depuis le document ou le worker qui l'a créé.

Gérer plusieurs politiques de sécurité

Le CSP permet d'indiquer plusieurs règles pour une même ressource avec l'en-tête Content-Security-Policy, l'en-tête Content-Security-Policy-Report-Only et l'élément <meta>.

L'en-tête Content-Security-Policy peut être utilisé plus d'une fois comme illustré ci-après. On notera la directive connect-src utilisée ici. Bien que la deuxième règle autorise la connexion, la première contient connect-src 'none'. L'ajout de règles supplémentaires permet uniquement d'augmenter les protections. Les niveaux les plus stricts pour chaque règle sont alors utilisés. Dans l'exemple qui suit, cela signifie que la directive connect-src 'none' sera respectée.

Content-Security-Policy: default-src 'self' http://example.com;
                          connect-src 'none';
Content-Security-Policy: connect-src http://example.com/;
                          script-src http://example.com/

Exemples

Exemple 1

Dans cet exemple, on désactive les scripts écrits à même le document (inline), les opérations eval() et les ressources (images, polices, scripts, etc.) peuvent uniquement être chargées via HTTPS :

// en-tête HTTP
Content-Security-Policy: default-src https:

// version avec la balise HTML meta
<meta http-equiv="Content-Security-Policy" content="default-src https:">

Exemple 2

Cet exemple est plutôt adapté pour un site historique qui utilise de nombreux scripts écrits dans les documents mais pour lequel on veut s'assurer que les ressources sont chargées via HTTPS et pour lequel on veut désactiver les plugins :

Content-Security-Policy: default-src https: 'unsafe-eval' 'unsafe-inline'; object-src 'none'

Exemple 3

On ne met pas en place la règle de sécurité mais on récolte les enfreintes qui se seraient produites pour cette règle :

Content-Security-Policy-Report-Only: default-src https:; report-uri /csp-violation-report-endpoint/

Pour plus d'exemples, consulter les recommandations de Mozilla pour la sécurité web.

Spécifications

Specification
Content Security Policy Level 3
# csp-header

Compatibilité des navigateurs

BCD tables only load in the browser

Voir aussi