Hướng dẫn thực hành triển khai Content Security Policy

CSP là một trong những biện pháp phòng thủ hiệu quả nhất chống lại XSS. Ý tưởng cốt lõi là chỉ cho phép các tài nguyên được khai báo rõ ràng và chặn mọi thứ còn lại theo mặc định.

Các directive chính

• default-src định nghĩa nền tảng của chính sách
• script-src và style-src thường là quan trọng nhất
• connect-src và frame-ancestors cũng rất quan trọng

Cách triển khai

Bắt đầu với Report-Only để xem chính sách sẽ phá vỡ gì, sau đó áp dụng nonce hoặc hash cho nội dung inline cần thiết. Tránh 'unsafe-inline' càng nhiều càng tốt.

Tăng cường hiện đại

Kết hợp strict-dynamic, Trusted Types và upgrade-insecure-requests để có tư thế bảo mật vững chắc hơn. CSP Builder giúp xây dựng quy tắc không có lỗi.