MDN’s new design is in Beta! A sneak peek: https://blog.mozilla.org/opendesign/mdns-new-design-beta/

Introduction au Content Security Policy

Cette traduction est incomplète. Aidez à traduire cet article depuis l'anglais.

Content Security Policy (CSP) est un mécanisme de sécurité aidant à détecter et mitiger des attaques, comme le Cross Site Scripting (XSS) ou l'injection de données. Ces attaques sont couramment utilisées dans le vol de données, le défacement de site web ou la propagation de malware.

CSP est rétro-compatible par définition, les navigateurs web ne le supportant pas fonctionnent quand même avec un serveur implémentant le CSP. Ces navigateurs web ignorent simplement le CSP et utilisent le standard same-origin policy en vigueur pour le contenu web. Il en est de même si le site web ne contient aucun en-têtes CSP.

Activer le CSP est simple, il suffit que votre serveur web retourne les bons en-têtes nommés Content-Security-Policy (Pour Firefox 23 et antérieur, l'en-tête se nommait X-Content-Security-Policy ). 

Voir Using Content Security Policy pour plus de détails sur l'implémentation et la configuration du CSP. 

Une balise <meta> peut aussi être utilisée pour configurer le CSP. Ceci n'est possible que depuis FIrefox 45.

Mitiger le cross site scripting

Un des buts premiers du CSP est de mitiger et alerter sur les attaques de type XSS. Ces dernières utilisent la confiance du navigateur dans l'origine du contenu web, ainsi les scripts malveillants sont executés dans le navigateur de la cible car la source du contenu web n'est pas vérifée.

CSP permet donc aux administrateurs du service de réduire voire éliminer le vecteur d'attaque du XSS en spécifiant les domaines sources valides pour les scripts à exécuter. Ainsi un navigateur prenant en charge le CSP, n'exécutera que les scripts chargés depuis une source fiable et connue, ignorant les autres (même les scripts inline et les attributs HTML d'évènement).

Il est aussi possible de désactiver complètement l'execution de scripts via le CSP.

Mitiger la capture de trames

Par ailleurs, en plus de restreindre les domaines source de contenu, CSP permet de spécifier quels protocoles sont autorisés, par exemple uniquement le HTTPS (ce qui est idéal d'un point de vue orienté sécurité).

Note: HTTPS n'est pas suffisant pour une stratégie de sécurité complète, s'assurer que les cookies ont des attributs de sécurité et rediriger le trafic HTTP vers HTTPS est nécessaire.
Note: Le site devrait aussi utiliser l'en-tête HTTP Strict-Transport-Security pour s'assurer que le navigateur se connecte uniquement via un tunnel chiffré.

Voir aussi

Spécification

 

Étiquettes et contributeurs liés au document

 Contributeurs à cette page : Hell_Carlito, eagleusb
 Dernière mise à jour par : Hell_Carlito,