Guia prático para implementar Content Security Policy

O CSP é uma das defesas mais eficazes contra XSS. A ideia central é permitir apenas recursos explicitamente declarados e bloquear todo o resto por padrão.

Diretivas principais

• default-src define a base da política
• script-src e style-src costumam ser as mais críticas
• connect-src e frame-ancestors também são muito importantes

Como implantá-lo

Comece com Report-Only para ver o que a política quebraria, depois aplique nonce ou hash para o conteúdo inline necessário. Evite 'unsafe-inline' sempre que possível.

Reforços modernos

Combine strict-dynamic, Trusted Types e upgrade-insecure-requests para uma postura mais sólida. O CSP Builder ajuda a construir regras sem erros.