Renforcer la sécurité des applications et sites web avec CSP

 

CSP définit une politique de sécurité de contenu de l’application web, qui fixe les listes des sources de confiance pour ses ressources (scripts, styles, images, etc.). Le navigateur bloque les téléchargements vers les sources non autorisées, ce qui élimine des attaques côté client, telles que le XSS.

Au sommaire de l’article

1 Attaques côté client

1.1 Cross-Site Scripting (XSS)

1.2 Usurpation de contenu

2 Ajouter un champ d’en-tête HTTP

2.1 Réponse HTTP

2.2 Ajout dans le code

2.3 Ajout dans le fichier de configuration

2.4 Ajout dans un .htaccess

2.5 Priorité en cas de collision de champ

3 Définir une politique de sécurité avec CSP

3.1 Champ Content-Security-Policy

3.2 Directives

3.3 Valeurs des directives

4 Politique de sécurité JavaScript

4.1 Scripts externes

4.2 Code embarqué dans la page web

5 Obtenir un rapport de violation

6 Implémentation

Conclusion

Références

Mariana ANDUJAR, Magali CONTENSIN

 > Lire l’intégralité de cet article sur notre plateforme de lecture en ligne Connect  

Retrouvez cet article (et bien d’autres) dans GNU/Linux Magazine HS n°97, disponible sur la boutique et sur Connect !

Laisser un commentaire