Volver al blog

CSP: Content Security Policy para proteger tu web

·1 min de lectura

¿Qué es CSP?

Content Security Policy (CSP) es una capa de seguridad que ayuda a detectar y mitigar ataques como Cross-Site Scripting (XSS) y data injection.

Cómo funciona

CSP funciona mediante cabeceras HTTP que indican al navegador qué recursos puede cargar y desde qué orígenes.

Directivas principales

default-src

Sirve como fallback para todas las directivas no especificadas. Usa 'self' como valor base.

script-src

Controla qué scripts pueden ejecutarse. Evita 'unsafe-inline' siempre que sea posible.

style-src

Controla las fuentes de CSS. Similar a script-src pero para estilos.

img-src

Controla las imágenes que puede cargar la página. Incluye data: si usas imágenes en base64.

Implementación gradual

Comienza en modo report-only para detectar violaciones sin bloquear. Usa report-uri o report-to para recibir informes.

Errores comunes

CSP demasiado restrictivo que rompe funcionalidades, o demasiado permisivo que no ofrece protección.

Conclusión

CSP es una de las defensas más efectivas contra XSS. En Vynta implementamos Content Security Policy personalizadas que protegen sin romper la funcionalidad.

Artículos relacionados

¿Tienes un proyecto en mente?

Hablemos