Politique de sécurité de contenu
Baseline Widely available
This feature is well established and works across many devices and browser versions. It’s been available across browsers since August 2016.
L'en-tête de réponse HTTP Content-Security-Policy
permet aux administrateurs d'un site web de contrôler les ressources que l'agent utilisateur est autorisé à charger pour une page donnée. Bien qu'il y ait quelques exceptions, ces règles impliquent la plupart du temps de définir les origines du serveur et les points d'accès pour les scripts. Cet en-tête aide à se protéger contre les attaques de cross-site scripting (XSS).
Pour plus d'informations, voir cet article sur Content Security Policy (CSP).
Type d'en-tête | En-tête de réponse |
---|---|
Nom d'en-tête interdit | Non |
Syntaxe
Content-Security-Policy: <policy-directive>; <policy-directive>
Directives
Directives de récupération (fetch)
Les directives de récupération (ou fetch directives en anglais) contrôlent les emplacements à partir desquels certains types de ressource peuvent être chargés.
child-src
-
Définit les sources valides pour les web workers et les éléments qui représentent des contextes de navigation imbriqués tels que
<frame>
et<iframe>
.
Attention :
Plutôt que la directive child-src
, si vous souhaitez réguler les contextes de navigation imbriqués et les workers séparément, vous pouvez utiliser respectivement les directives frame-src
et worker-src
.
connect-src
-
Restreint les URL qui peuvent être chargées via des scripts.
default-src
-
Représente la valeur par défaut des directives de récupération qui ne sont pas définies explicitement.
font-src
-
Définit les sources valides pour les polices de caractères chargées depuis
@font-face
. frame-src
-
Définit les sources valides pour les éléments qui représentent des contextes de navigation imbriqués, tels que
<frame>
et<iframe>
. img-src
-
Définit les sources valides pour les images et les favicons.
manifest-src
-
Définit les sources valides pour les fichiers de manifeste d'application.
media-src
-
Définit les sources valides pour les ressources média des éléments
<audio>
et<video>
. object-src
-
Définit les sources valides pour les ressources des éléments
<object>
,<embed>
et<applet>
.
Note :
Les éléments contrôlés pa ar object-src
sont considérés peut-être par coïcidence comme des éléments HTML du passé et ne recevront de nouvelles fonctionnalités normalisées (comme les attributs de sécurité sandbox
et allow
pour <iframe>
). De ce fait, il est recommandé de restreindre cette directive, c'est-à-dire la définir explicitement à object-src 'none'
dans la mesure du possible.
prefetch-src
-
Définit .
script-src
-
Définit les sources valides pour les fichiers JavaScript.
script-src-elem
Expérimental-
Définit les sources valides de code JavaScript chargé avec l'élément
<script>
. script-src-attr
Expérimental-
Définit les sources valides de JavaScript pour les écouteurs d'évènements par les attributs
on<eventName>
. style-src
-
Définit les sources valides pour les feuilles de styles.
style-src-elem
Expérimental-
Définit les sources valides pour les feuilles de styles définies avec l'élément
<style>
ou chargées avec l'élément<link>
ayant l'attributrel="stylesheet"
. style-src-attr
Expérimental-
Définit les sources valides pour les feuilles de styles embarquées appliquées à des éléments individuels du DOM par l'attribut
style
. worker-src
-
Définit les sources valides pour les scripts des
Worker
,SharedWorker
etServiceWorker
.
Directives de document
Les directives de document permettent de paramétrer les propriétés d'un document ou d'un environnement pour un web worker auquel une règle de sécurité s'applique.
base-uri
-
Restreint les URL qui peuvent être utilisées au sein de l'élément
<base>
d'un document. plugin-types
-
Restreint le type de plugin qui peut être intégré dans un document en limitant le type de ressource qui peut être chargé.
sandbox
-
Active un bac-à-sable (sandbox) pour la ressource visée. Cela fonctionne de façon analogue à l'attribut
sandbox
de<iframe>
.
Directives de navigation
Les directives de navigation permettent par exemple de paramétrer les emplacements vers lesquels l'utilisateur peut naviguer ou envoyer un formulaire.
form-action
-
Restreint les URL qui peuvent être utilisées comme cibles pour envoyer des formulaires depuis un contexte donné.
frame-ancestors
-
Définit les parent valides qui peuvent intégrer une page grâce aux éléments
<frame>
,<iframe>
,<object>
,<embed>
, ou<applet>
. -
Restreint les URL vers lesquelles on peut naviguer depuis un document, quel que soit le moyen de navigation (un lien, un formulaire,
window.location
,window.open
, etc.)
Directives de rapport
Les directives de rapport permettent de contrôler ce qui se passe lorsqu'une règle CSP est violée. Voir également l'en-tête Content-Security-Policy-Report-Only
.
report-uri
Obsolète-
Indique à l'agent utilisateur de rapporter les tentatives d'enfreintes du CSP. Un rapport d'enfreinte est un ensemble de documents JSON envoyés via une requête HTTP
POST
à l'URI indiquée.
Attention :
Bien que la directive report-to
est prévue remplacer la directive report-uri
maintenant dépréciée, report-to
n'est pas encore supportée par la plupart des navigateurs modernes. Par rétrocompatibilité avec les navigateurs courants et tout en prévoyant une compatibilité future quand les navigateurs supporteront report-to
, vous pouvez spécifier les deux directives report-uri
et report-to
:
Content-Security-Policy: ...; report-uri https://endpoint.com; report-to groupname
Dans les navigateurs qui supportent report-to
, la directive report-uri
sera ignorée.
report-to
Expérimental-
Déclenche un évènement
SecurityPolicyViolationEvent
.
Autres directives
block-all-mixed-content
-
Empêche le chargement de toute ressource via HTTP lorsque la page est chargée avec HTTPS.
referrer
Obsolète Non standard-
Referrer-Policy
doit être utilisé à la place. Était utilisée pour indiquer l'en-tête référent (sic) pour les liens sortants. require-sri-for
Expérimental-
Oblige à utiliser le contrôle d'intégrité des sous-ressources (SRI) pour les scripts ou les styles de la page.
trusted-types
Expérimental-
Utilisée pour spécifier une liste de permissions de règles de Trusted Types. Les Trusted Types permettent à des applications de verrouiller les puits d'injection XSS dans le DOM pour n'accepter que des valeurs typées et non falsifiables plutôt que des chaines de caractères.
upgrade-insecure-requests
-
Indique à l'agent utilisateur de considérer toutes les URL non-sécurisées d'un site (celles servies via HTTP) comme si elles avaient été remplacées par des URL sécurisées. Cette directive est destinée aux sites web qui ont de nombreuses URL historiques non-sécurisées et qui doivent être réécrites.
Utilisation du CSP dans les web workers
En général, les web workers ne sont pas gérés par les règles de sécurité du contenu du document (ou du worker parent) qui les a créé. Pour indiquer une règle de sécurité du contenu pour le worker, on utilisera un en-tête de réponse Content-Security-Policy
pour la requête qui a demandé le script du worker.
Il y a une exception à cette règle lorsque l'origine du script d'un worker est un identifiant global unique (par exemple si l'URL utilise un schéma de donnée ou un blob). Dans ce cas, le worker hérite de la règle de sécurité du contenu depuis le document ou le worker qui l'a créé.
Gérer plusieurs politiques de sécurité
Le CSP permet d'indiquer plusieurs règles pour une même ressource avec l'en-tête Content-Security-Policy
, l'en-tête Content-Security-Policy-Report-Only
et l'élément <meta>
.
L'en-tête Content-Security-Policy
peut être utilisé plus d'une fois comme illustré ci-après. On notera la directive connect-src
utilisée ici. Bien que la deuxième règle autorise la connexion, la première contient connect-src 'none'
. L'ajout de règles supplémentaires permet uniquement d'augmenter les protections. Les niveaux les plus stricts pour chaque règle sont alors utilisés. Dans l'exemple qui suit, cela signifie que la directive connect-src 'none'
sera respectée.
Content-Security-Policy: default-src 'self' http://example.com; connect-src 'none'; Content-Security-Policy: connect-src http://example.com/; script-src http://example.com/
Exemples
Exemple 1
Dans cet exemple, on désactive les scripts écrits à même le document (inline), les opérations eval()
et les ressources (images, polices, scripts, etc.) peuvent uniquement être chargées via HTTPS :
// en-tête HTTP Content-Security-Policy: default-src https: // version avec la balise HTML meta <meta http-equiv="Content-Security-Policy" content="default-src https:">
Exemple 2
Cet exemple est plutôt adapté pour un site historique qui utilise de nombreux scripts écrits dans les documents mais pour lequel on veut s'assurer que les ressources sont chargées via HTTPS et pour lequel on veut désactiver les plugins :
Content-Security-Policy: default-src https: 'unsafe-eval' 'unsafe-inline'; object-src 'none'
Exemple 3
On ne met pas en place la règle de sécurité mais on récolte les enfreintes qui se seraient produites pour cette règle :
Content-Security-Policy-Report-Only: default-src https:; report-uri /csp-violation-report-endpoint/
Pour plus d'exemples, consulter les recommandations de Mozilla pour la sécurité web.
Spécifications
Specification |
---|
Content Security Policy Level 3 # csp-header |
Compatibilité des navigateurs
BCD tables only load in the browser