Guía práctica para implementar Content Security Policy

CSP es una de las defensas más potentes contra XSS. La idea central es permitir solo recursos explícitos y bloquear el resto por defecto.

Directivas principales

• default-src define la base de la política
• script-src y style-src suelen ser las más críticas
• connect-src y frame-ancestors también importan mucho

Cómo desplegarla

Empieza con Report-Only para ver qué rompería la política, luego pasa a nonce o hash para el contenido inline necesario. Evita 'unsafe-inline' siempre que puedas.

Refuerzos modernos

Combina strict-dynamic, Trusted Types y upgrade-insecure-requests para una postura más sólida. CSP Builder ayuda a construir reglas sin errores.