Êtes-vous un étudiant de l'EPFL à la recherche d'un projet de semestre?
Travaillez avec nous sur des projets en science des données et en visualisation, et déployez votre projet sous forme d'application sur GraphSearch.
Concept
Content Security Policy
Résumé
Content Security Policy (abrégé CSP) est un mécanisme de sécurité standardisé permettant de restreindre l'origine du contenu (tel qu'un script Javascript, une feuille de style etc.) dans une page web à certains sites autorisés. Il permet notamment de mieux se prémunir contre des attaques d'injection de code comme les attaques par cross-site scripting (abrégé XSS) ou par détournement de clic. Ces attaques se reposant essentiellement sur l'exécution de code malveillant sur un site où l'utilisateur se sent en confiance. Sa troisième version est actuellement un Candidat de Recommandation pour le groupe de travail W3C sur le Web Application Security .
CSP fournit une méthode standard pour que les propriétaires de sites web puissent déclarer les origines approuvées de contenu dont les navigateurs devraient être autorisés à charger sur ce site. Les types couverts sont des scripts JavaScript, des feuilles de style CSS, des frames HTML (en), des Web Worker (en), des polices d'écriture, des images, des objets incorporables comme des Applets Java, ActiveX, des fichiers audio ou vidéo, et d'autres fonctionnalités d'HTML5.
La plupart des navigateurs modernes supportent ce mécanisme dans sa première version. Ceux ne supportant pas cette spécification ignorent simplement l'en-tête, cela est donc transparent pour le visiteur.
Le standard, originellement appelé Content Restrictions, fut proposé par Robert Hansen en 2004, et fut implémenté en premier dans Firefox 4 qui fut vite suivi par d'autres navigateurs. La première version du standard fut publiée en 2012 en tant que recommandation W3C qui engendra rapidement d'autres versions publiées en 2014. Un brouillon de la troisième version est toujours en cours d'élaboration avec de nouvelles fonctionnalités déjà adoptées par les navigateurs web.
Les noms d'en-tête suivant sont utilisés en tant qu'implémentations expérimentales de CSP :
Content-Security-Policy : Nom d'en-tête standard proposé dans un document du W3C. Google Chrome le supporte depuis sa version 25.
Source officielle
À propos de ce résultat
Cette page est générée automatiquement et peut contenir des informations qui ne sont pas correctes, complètes, à jour ou pertinentes par rapport à votre recherche. Il en va de même pour toutes les autres pages de ce site. Veillez à vérifier les informations auprès des sources officielles de l'EPFL.