Как работает Content Security Policy в современных браузерах?

Content Security Policy (CSP) в современных браузерах работает следующим образом: romka.eu

1. На страницу добавляется HTTP-заголовок Content-Security-Policy. blog.skillfactory.ru Он позволяет создать белый список источников доверенного контента и проинструктировать браузер исполнять код или рендерить ресурсы только из этих источников. romka.eu
2. Когда браузер просматривает код сайта, он сначала анализирует содержание частных директив. blog.skillfactory.ru Если информации нет, то обращается к резервной директиве. blog.skillfactory.ru
3. Основные директивы CSP:

• img-src — контролирует использование изображений с внешних ресурсов; blog.skillfactory.ru
• media-src — управляет загрузкой медиаконтента (видео, анимации, аудио); blog.skillfactory.ru
• script-src — ограничивает источники рабочих сценариев для веб-страницы; blog.skillfactory.ru
• frame-src — контролирует подгрузку веб-элементов, вложенных в контекст основной страницы; blog.skillfactory.ru
• default-src — резервная директива. blog.skillfactory.ru

Даже если злоумышленник найдёт брешь в защите и сможет внедрить скрипт, этот скрипт не будет соответствовать белому списку и не будет исполнен. romka.eu