Content Security Policy (CSP) — это механизм безопасности веб-приложений, который позволяет контролировать, какие ресурсы (скрипты, стили, изображения и т.д.) могут загружаться и выполняться на странице.

CSP задаётся через HTTP-заголовок или мета-тег и помогает предотвратить атаки типа Cross-Site Scripting (XSS) и другие инъекции, ограничивая источники контента.

Пример простого CSP-заголовка:

Content-Security-Policy: default-src 'self'; img-src https://trusted.com; script-src 'self' https://apis.google.com

Это значит, что по умолчанию разрешены ресурсы только с того же источника ('self'), изображения можно загружать с trusted.com, а скрипты — с собственного домена и apis.google.com.

CSP помогает повысить безопасность, ограничивая возможности злоумышленников внедрять вредоносный код.

Что такое CSP (Content Security Policy)?