Можешь ли ты объяснить, что такое Content Security Policy (CSP) и описать, как она помогает предотвратить атаки cross-site scripting (XSS) в веб-приложениях?

Что такое Content Security Policy (CSP)?

Content Security Policy (CSP) — это HTTP-заголовок ответа, который контролирует, какие ресурсы браузер может загружать и выполнять на веб-странице. Эти ресурсы включают скрипты, стили, изображения и шрифты.

Как CSP предотвращает XSS-атаки

XSS-атаки обычно работают путём внедрения вредоносных скриптов на страницу. CSP смягчает эту угрозу, позволяя разработчикам определить белый список доверенных источников контента. Если ресурс не соответствует политике, браузер полностью его блокирует — даже если скрипт успешно был внедрён.

Основные защиты, которые обеспечивает CSP:

• Блокирует встроенные скрипты, если они явно не разрешены
• Ограничивает выполнение скриптов только одобренными источниками
• Предотвращает eval() и подобное динамическое выполнение кода
• Блокирует несанкционированную загрузку внешних ресурсов

Пример использования

CSP-заголовок устанавливается на стороне сервера:

Эта политика означает:

• 'self' — разрешены только скрипты с того же источника
• https://trusted-cdn.com — скрипты с этого конкретного CDN разрешены
• Любой другой источник скриптов автоматически блокируется

Почему это важно для JavaScript-приложений

Современные приложения, активно использующие JavaScript, часто становятся мишенью XSS-атак. CSP действует как второй уровень защиты — даже если атакующий внедрит вредоносный скрипт, браузер откажется его выполнять, если источник не внесён в белый список.

Основные рекомендации:

• Избегай использования 'unsafe-inline' или 'unsafe-eval' в своей политике
• Используй nonce или хэши для безопасного разрешения конкретных встроенных скриптов
• Всегда комбинируй CSP с валидацией входных данных и экранированием вывода для полной защиты