CSP
CSP (Chính sách Bảo mật Nội dung)
Tiêu chuẩn bảo mật trình duyệt cho phép chủ sở hữu trang web chỉ định nguồn nội dung (script, style, hình ảnh, phông chữ) nào được phép tải, cung cấp phòng thủ mạnh mẽ chống lại tấn công cross-site scripting (XSS) và chèn dữ liệu.
Chi tiết kỹ thuật
CSP được gửi qua header HTTP Content-Security-Policy hoặc thẻ . Các chỉ thị bao gồm default-src (dự phòng), script-src (nguồn JavaScript), style-src (CSS), img-src (hình ảnh), connect-src (fetch/XHR), font-src và frame-src. Giá trị có thể là 'self' (cùng nguồn gốc), tên miền cụ thể, 'unsafe-inline' (không khuyến nghị), 'nonce-{random}' hoặc 'sha256-{hash}'. Các chỉ thị report-uri/report-to gửi báo cáo vi phạm đến endpoint được chỉ định. Chính sách CSP nghiêm ngặt hiệu quả loại bỏ XSS nội tuyến bằng cách yêu cầu tất cả script phải có nonce hoặc hash.
Ví dụ
```javascript
// CSP: web API example
const response = await fetch('/api/resource');
const data = await response.json();
console.log(data);
```