CSP (Content Security Policy) — это механизм безопасности веб-приложений, который помогает предотвратить атаки типа XSS (межсайтовый скриптинг) и другие внедрения вредоносного кода.

CSP задаётся через HTTP-заголовок Content-Security-Policy или мета-тег в HTML и определяет, какие источники контента разрешены для загрузки и выполнения (скрипты, стили, изображения, шрифты и т.д.).

Пример настройки CSP в HTTP-заголовке:

Content-Security-Policy: default-src 'self'; img-src https://trusted.com; script-src 'self' https://cdn.example.com

Это означает:

По умолчанию разрешать загрузку ресурсов только с того же источника ('self').
Изображения разрешены с https://trusted.com.
Скрипты разрешены с текущего источника и с https://cdn.example.com.

Для настройки CSP нужно:

Определить, какие ресурсы и с каких источников нужны приложению.
Сформировать политику с нужными директивами (default-src, script-src, style-src, img-src и др.).
Добавить заголовок на сервере или в HTML.
Тестировать и корректировать политику, чтобы не блокировать легитимный контент.

CSP значительно повышает безопасность, ограничивая возможности внедрения вредоносного кода.

Что такое CSP и как его настраивать?