CONTENT SECURITY.


TIMSANET

Autor:

Michelle Naomi Salto Jiménez 

 

Es una capa de seguridad adicional que ayuda a prevenir y mitigar algunos tipos de ataque, incluyendo Cross Site Scripting ( XSS ). Estos ataques son usados con diversos propósitos, desde robar información hasta desfiguración de sitios o distribución de malware.

CSP hace posible que los administradores de servidores reduzcan o eliminen las posibilidades de ocurrencia de XSS (es un tipo de ciberataque en el que se buscan vulnerabilidades en una aplicación web.

CSP está diseñado para ser completamente retrocompatible .Los navegadores que no lo soportan siguen funcionando con los servidores que lo implementan y viceversa: los navegadores que no soportan CSP simplemente lo ignoran, funcionando como siempre y delegando a la política mismo-origen para contenido web. Si el sitio web no ofrece la cabecera CSP, los navegadores igualmente usan la política estándar mismo-origen.

Para habilitar CSP, es necesario configurar tu servidor web para que devuelva la cabecera HTTP Content-Security-Policy.

La configuración de la Política de Seguridad del Contenido (CSP), consiste en agregar a una página web la cabecera HTTP Content-Security-Policy, y darle valores para controlar los recursos que el agente de usuario puede cargar para esa página. Por ejemplo, una página que carga y muestra imágenes podría permitir imágenes desde cualquier lugar, pero pudiera restringir una acción de formulario a una ruta específica. Una Política de Seguridad de Contenido adecuadamente diseñada ayuda a proteger una página contra un ataque de scripts entre sitios. 





Comentarios