Content-Security-Policy

O cabeçalho de resposta HTTP Content-Security-Policy permite aos administradores do site, ter controle sobre os recursos que o agente de usuário é permitido carregar para uma certa página. Com algumas pequenas exceções, políticas majoritariamente envolvem especificar as origens do servidor e pontos de acessos dos scripts. Isso ajuda contra ataques de scripting entre sites (XSS).

Para mais informações, veja o artigo introdutório em Política de Segurança de Conteúdo (Content Security Policy)(CSP).

Tipo de cabeçalho Response header
Forbidden header name não

Sintaxe

Content-Security-Policy: <policy-directive>; <policy-directive>

Diretivas

Fetch directives

Diretivas de busca (Fetch directives) controlam as localizações dos quais certos tipos de recursos podem ser carregados.

Lista de Diretivas de busca de Política de Segurança de Conteúdo (CSP)

child-src (en-US)
Define uma origem válida para web workers e contextos aninhados de navegação carregados usando elementos como <frame> (en-US) e <iframe>.

Ao invés de child-src, os autores que querem regular contextos de navegação aninhadas e trabalhores devem usar as diretivas frame-src (en-US) e worker-src (en-US), respectivamente.

connect-src (en-US)
Restringe a URL que pode ser carregada usando interfaces de script.
default-src (en-US)
Funciona como recuo para a outra fetch directives.
font-src (en-US)
Especifica origens válidas para as fontes de letras carregadas usando @font-face.
frame-src (en-US)
Especifica origens válidas para carregamento de contextos de navegação aninhados usando elementos como <frame> (en-US) e <iframe>.
img-src (en-US)
Especifica origens válidas para imagens e ícones.
manifest-src (en-US)
Especifica origens válidas dos arquivos de manifesto da aplicação.
media-src (en-US)
Especifica origens válidas para carregar dados de media usando os elementos <audio> , <video> e <track>.
object-src (en-US)
Especifica origens válidas para os elementos <object> (en-US), <embed>, e <applet>.
Elementos controlados por object-src sejam talvez considerados elementos HTML legados e não estão recebendo novas funcionalidades padrão (como os atributos de segurança sandbox ou allow para <iframe>). Sendo assim é recomendado restringir o uso desta diretiva (e.g. colocar explicitamente object-src 'none' se possível).
prefetch-src (en-US) This is an experimental API that should not be used in production code.
Especifica origens válidas para serem pré-carregadas ou pré-renderizadas.
script-src (en-US)
Especifica origens válidas para JavaScript.
script-src-elem (en-US) This is an experimental API that should not be used in production code.
Especifica origens válidas para elementos JavaScript <script>.
script-src-attr (en-US) This is an experimental API that should not be used in production code.
Especifica origens válidas para handlers de eventos JavaScript inline.
style-src (en-US)
Especifica origens válidas para arquivos de estilo.
style-src-elem (en-US) This is an experimental API that should not be used in production code.
Especifica origens válidas para elementos de estilo <style> e elementos <link> com rel="stylesheet".
style-src-attr (en-US) This is an experimental API that should not be used in production code.
Especifica origens válidas para estilos dentro de linha aplicados a elementos DOM individuais.
worker-src (en-US) This is an experimental API that should not be used in production code.
Especifica origens válidas para scripts Worker, SharedWorker, ou ServiceWorker (en-US).

Document directives

As diretivas de Documento governam as propriedades de um documento ou ambiente worker (trabalhador) para qual a política se aplica.

Lista de diretivas de Documento da Política de Segurança de Conteúdo

base-uri (en-US)
Restringe as URLs que podem ser usadas em um elemento <base> do documento.
plugin-types (en-US)
Restringe o conjunto de plugins que podem ser embutidos em um documento limitando pelos tipos de conteúdos que podem ser carregados.
sandbox (en-US)
Habilita o sandbox para um recurso requisitado similar ao atributo sandbox de <iframe>.

Diretivas de Navegação governam para qual localização um usuário pode navegar ou submeter um formulário para, por exemplo.

Lista de diretivas de Navegação da Política de Segurança de Conteúdo

form-action (en-US)
Restringe as URLs que podem ser usadas como alvo para as submissões de um formulário para um dado contexto.
frame-ancestors (en-US)
Especifica pais válidos que podem embutir uma página usando <frame> (en-US), <iframe>, <object> (en-US), <embed>, ou <applet>.
navigate-to (en-US) This is an experimental API that should not be used in production code.
Restringe as URLs para qual um documento pode iniciar navegação quaisquer sejam os motivos, incluindo <form> (se form-action (en-US) não for especificado), <a>, window.location, window.open (en-US), etc.

Reporting directives

Diretivas de Relatório controlam o processo de reportar as violações CSP. Veja também o cabeçalho Content-Security-Policy-Report-Only.

Lista de Diretivas de Relatório da Política de Segurança de Conteúdo

report-uri (en-US) This deprecated API should no longer be used, but will probably still work.
Instrui ao agente de usuário para reportar tentativas de violaçnao de Política de Segurança de Conteúdo. Esses relatórios de violação consistem de documentos JSON enviados por requisição HTTP POST para uma URI especificada.

Apesar da diretiva report-to (en-US) tem a inteção de trocar a diretiva depreciada report-uri, report-to (en-US) não é suportado na maioria dos navegadores ainda. Então para compatibilidade com os navegadores atuais enquanto adiciona a compatibilidade com report-to (en-US), você pode especificar ambos report-uri e report-to (en-US):

Content-Security-Policy: ...; report-uri https://endpoint.example.com; report-to groupname

Em navegadores que suportam report-to (en-US), a diretiva report-uri será ignorada.

report-to (en-US) This is an experimental API that should not be used in production code.
Dispara um SecurityPolicyViolationEvent.

Outras diretivas

block-all-mixed-content (en-US)
Previne carregamento de quaisquer recursos usando HTTP quando a página é carregada usando HTTPS.
referrer (en-US) This deprecated API should no longer be used, but will probably still work. This API has not been standardized.
Era usado para especificar informação no cabeçalho de referência (sic) para links fora da página. Ao invés disso, use o cabeçalho Referrer-Policy.
require-sri-for (en-US) This is an experimental API that should not be used in production code.
Obriga o uso de SRI para scripts ou estilos na página.
require-trusted-types-for (en-US) This is an experimental API that should not be used in production code.
Impõe Trusted Types (Tipos confiáveis) em coletores de eventos (vide: Sink (Computing)) para evitar injeção de DOM XSS.
trusted-types (en-US) This is an experimental API that should not be used in production code.
Usado para especificar uma lista branca de políticas Trusted Types (Tipos confiáveis) (Tipos confiáveis permitem aplicações travarem injeções DOM XSS em coletores de eventos (sinks) para aceitarem somente valores tipados não falsificáveis no lugar de strings.
upgrade-insecure-requests (en-US)
Instrui o usuário de agente a tratar todas as URLs inseguras de um site (aquelas servidas através do HTTP) a serem trocadas por URLs seguras (aqueles servidas através de HTTPS). Essa diretiva tem como foco sites com grande número de URLs inseguras e legadas que precisam ser reescritas.

CSP em workers(trabalhadores)

Workers (trabalhadores) em geral não são governados pela política de segurança de conteúdo do documento (ou trabalhador pai) que os criou. Para especificar uma política de segurança de conteúdo para um trabalhador, coloque um cabeçalho de resposta Content-Security-Policy para a requisição que pediu o script do trabalhador em si.

A exceção à isso é se o script original do trabalhador é um identificador único global (por exemplo, se a URL tem um esquema de dados ou blob). Neste caso, o trabalhador herda a política de segurança de conteúdo do documento ou trabalhador que o criou.

Múltiplas políticas de segurança de conteúdo

CSP permite múltiplas políticas sendo especificadas para um recurso, através dos cabeçalhos Content-Security-Policy, Content-Security-Policy-Report-Only e do elemento <meta>.

Você pode usar o cabeçalho Content-Security-Policy mais de uma vez como no exemplo abaixo. Preste atenção a diretiva connect-src (en-US) aqui. Mesmo que a segunda política permitiria a conexão, a primeira política contém connect-src 'none'. Adicionando políticas adicionais podem somente restringir as capacidades do recurso protegido, o que significa que não haverá conexão permitida e, como política mais restrita, connect-src 'none' é imposto.

Content-Security-Policy: default-src 'self' http://example.com;
                         connect-src 'none';
Content-Security-Policy: connect-src http://example.com/;
                         script-src http://example.com/

Exemplos

Exemplo: Desabilitar inline/eval inseguros, permitindo somente carregamento de conteúdos (imagens, fontes de letras, scripts, etc.) através do HTTPS:

// cabeçalho
Content-Security-Policy: default-src https:

// meta tag
<meta http-equiv="Content-Security-Policy" content="default-src https:">

Exemplo: Site pré-existente que usa muito código dentro de linha para corrigir mas quer assegurar que os recursos são carregador somente através de HTTPS e desabilita plugins:

Content-Security-Policy: default-src https: 'unsafe-eval' 'unsafe-inline'; object-src 'none'

Exemplo: Não implemente a política acima ainda, ao invés disso, somente reporte as violações que podem ter ocorrido:

Content-Security-Policy-Report-Only: default-src https:; report-uri /csp-violation-report-endpoint/

Veja as Mozilla Web Security Guidelines para mais exemplos.

Especificações

Especificação Status Comentários
Content Security Policy Level 3 Rascunho atual Adiciona manifest-src, navigate-to, report-to, strict-dynamic, worker-src. Desdeprecia frame-src. Deprecia report-uri em favor de report-to.
Mixed Content Candidata a Recomendação Adiciona block-all-mixed-content.
Subresource Integrity Recomendação Adiciona require-sri-for.
Upgrade Insecure Requests Candidata a Recomendação Adiciona upgrade-insecure-requests.
Content Security Policy Level 2 Recomendação Adiciona base-uri, child-src, form-action, frame-ancestors, plugin-types, referrer, and report-uri. Deprecia frame-src.
Content Security Policy 1.0 Obsoleto Define connect-src, default-src, font-src, frame-src, img-src, media-src, object-src, report-uri, sandbox, script-src, e style-src.

Compatibilidade de navegador

BCD tables only load in the browser

Veja também