Nivel Principiante
Imagina que tu página web es un castillo, y los scripts que usa son los habitantes. Sin ninguna regla, cualquiera podría entrar y hacer lo que quisiera. El CSP (Content Security Policy) es como el guardia de seguridad de tu castillo. Es una regla que le dices al navegador para que solo permita entrar a los habitantes (scripts, imágenes, estilos) que tú le indiques que son seguros. Si alguien intenta meter un habitante extraño y malicioso, el guardia de seguridad no lo deja pasar, protegiendo así a los visitantes de tu página.
Nivel Intermedio
El CSP (Content Security Policy) es un estándar de seguridad web que ayuda a prevenir ataques de inyección de código, como el Cross-Site Scripting (XSS). El CSP le da al desarrollador la capacidad de especificar qué fuentes de contenido son seguras para la página web (scripts, estilos, imágenes, iframes, etc.) a través de un encabezado HTTP.
Cuando un navegador recibe una página web con una política CSP, solo cargará los recursos que provengan de las fuentes autorizadas. Si un atacante inyecta un script malicioso desde una fuente no autorizada, el navegador simplemente lo bloqueará, mitigando así el ataque. El CSP se configura a través de directivas que definen las fuentes permitidas para cada tipo de recurso.
Nivel Avanzado
Técnicamente, el CSP es un encabezado de respuesta HTTP que el servidor envía al navegador. Este encabezado contiene una serie de directivas que actúan como una lista blanca de fuentes de contenido seguro.
Las directivas más comunes son:
script-src: Define las fuentes válidas para los scripts de JavaScript.style-src: Define las fuentes válidas para las hojas de estilo CSS.img-src: Define las fuentes válidas para las imágenes.default-src: Es la directiva de respaldo para todos los tipos de recursos no especificados.
Por ejemplo, un encabezado CSP podría verse así:
Content-Security-Policy: default-src ‘self’; script-src ‘self’ https://trusted.cdn.com;
Esta política le dice al navegador que solo cargue recursos (scripts, imágenes, etc.) desde el mismo origen ('self') y que solo cargue scripts de JavaScript desde el mismo origen y desde el dominio https://trusted.cdn.com. Si un script intenta cargarse desde cualquier otra fuente, el navegador lo bloqueará y reportará el incidente.
La implementación del CSP es crucial para la seguridad web. Se puede configurar en modo de informe (Content-Security-Policy-Report-Only) para monitorear las violaciones de la política sin bloquear el contenido, lo que permite a los desarrolladores probar la política antes de implementarla por completo. Un CSP bien configurado es una defensa sólida contra la inyección de código y es un pilar de la seguridad en aplicaciones web modernas.