КИБЕРВИКИПЕДИЯ
SECURITY VISION

CSP (Content Security Policy) — это механизм защиты от XSS, внедрения кода и других атак, позволяющий ограничить источники загрузки скриптов, стилей и других ресурсов на веб-странице.

Как работает CSP:

• Разработчик настраивает HTTP-заголовок (Content-Security-Policy), указывая, откуда можно загружать JS, CSS, изображения и т. д.
• Например:

Это разрешает:

• Скрипты только с текущего сайта и cdn.com.
• Изображения с любых источников (*).
• Блокирует встроенные скрипты (unsafe-inline).

Примеры из жизни

1. Пропускная система в аэропорту– как CSP, разрешает только определенные маршруты (домены).
2. Фильтр воды– блокирует вредные примеси (опасные скрипты).
3. Охранник в клубе– проверяет, кто может войти (разрешенные источники).
4. Родительский контроль на TV– запрещает нежелательные каналы (непроверенные CDN).
5. Брандмауэр в компании– пропускает только доверенный трафик.
6. Рецепт в аптеке– только по назначению врача (разрешенные ресурсы).
7. Билет с местом– как script-src, указывает, куда можно сесть (откуда грузить код).
8. Черный список гостей– блокирует опасные источники (unsafe-eval).
9. Правила ввоза товаров– как img-src, контролирует, что можно импортировать.
10. Школьный фильтр интернета– запрещает доступ к опасным сайтам (XSS-доменам).