Diferència entre revisions de la pàgina «22. classVRroom. Implementació de polítiques de seguretat CSP - Grupo 6»
(Es crea la pàgina amb «==CSP== CSP está diseñado para ser completamente retrocompatible (excepto la versión 2 de CSP, donde hay algunas menciones explícitas de inconsistencia en la retro...».) |
|||
Línia 6: | Línia 6: | ||
Alternativamente, el elemento <meta> puede ser usado para configurar una política, por ejemplo:<br> | Alternativamente, el elemento <meta> puede ser usado para configurar una política, por ejemplo:<br> | ||
<pre> <meta http-equiv="Content-Security-Policy" content="default-src 'self'; img-src https://*; child-src 'none';"></pre> | <pre> <meta http-equiv="Content-Security-Policy" content="default-src 'self'; img-src https://*; child-src 'none';"></pre> | ||
+ | Solo hay que añadir esta linea a nuestra pagina para que contenga esta politica. |
Revisió de 16:42, 6 abr 2022
CSP
CSP está diseñado para ser completamente retrocompatible (excepto la versión 2 de CSP, donde hay algunas menciones explícitas de inconsistencia en la retrocompatibilidad; más detalles aquí sección 1.1). Los navegadores que no lo soportan siguen funcionando con los servidores que lo implementan y viceversa: los navegadores que no soportan CSP simplemente lo ignoran, funcionando como siempre y delegando a la política mismo-origen para contenido web. Si el sitio web no ofrece la cabecera CSP, los navegadores igualmente usan la política estándar mismo-origen.
Para habilitar CSP, necesitas configurar tu servidor web para que devuelva la cabecera HTTP Content-Security-Policy (en ocasiones verás menciones de la cabecera X-Content-Security-Policy, pero se trata de una versión antigua y no necesitas especificarla más).
Alternativamente, el elemento <meta> puede ser usado para configurar una política, por ejemplo:
<meta http-equiv="Content-Security-Policy" content="default-src 'self'; img-src https://*; child-src 'none';">
Solo hay que añadir esta linea a nuestra pagina para que contenga esta politica.