Guide pratique pour implémenter Content Security Policy

CSP est l'une des défenses les plus efficaces contre XSS. L'idée centrale est d'autoriser uniquement les ressources explicitement déclarées et de bloquer tout le reste par défaut.

Directives principales

• default-src définit la base de la politique
• script-src et style-src sont généralement les plus critiques
• connect-src et frame-ancestors comptent aussi beaucoup

Comment la déployer

Commencez par Report-Only pour voir ce que la politique casserait, puis appliquez nonce ou hash pour le contenu inline nécessaire. Évitez 'unsafe-inline' autant que possible.

Renforcements modernes

Combinez strict-dynamic, Trusted Types et upgrade-insecure-requests pour une posture plus solide. CSP Builder aide à construire les règles sans erreurs.