Content Security Policy (CSP) es un mecanismo de seguridad implementado a través de una cabecera de respuesta HTTP que permite a los propietarios de sitios web controlar qué recursos (scripts, estilos, imágenes, fuentes, etc.) el navegador tiene permitido cargar. CSP es una defensa poderosa contra cross-site scripting (XSS) y ataques de inyección de datos.
Una cabecera CSP contiene directivas que especifican las fuentes permitidas para diferentes tipos de recursos. Por ejemplo, script-src define desde dónde se puede cargar JavaScript, style-src controla las fuentes de CSS e img-src gobierna las fuentes de imágenes. La directiva default-src proporciona un respaldo para cualquier tipo de recurso no configurado explícitamente. Los libros sobre seguridad de aplicaciones web en Amazon proporcionan guías de implementación.
Para los servicios de acortamiento de URL, CSP ayuda a proteger las páginas de presentación, páginas de vista previa y el panel de administración contra ataques XSS. Una CSP bien configurada previene que los atacantes inyecten scripts maliciosos incluso si encuentran una vulnerabilidad de validación de entrada.
Implementar CSP puede ser desafiante porque las políticas excesivamente restrictivas pueden romper funcionalidades legítimas. El enfoque recomendado es comenzar con un modo de solo reporte (Content-Security-Policy-Report-Only) que registra las violaciones sin bloquear recursos, y luego ajustar gradualmente la política basándose en los reportes. Los libros sobre ingeniería de seguridad en Amazon discuten estrategias de despliegue.