CSP
CSP (Content Security Policy)
Un standard de sécurité des navigateurs qui permet aux propriétaires de sites de spécifier quelles sources de contenu (scripts, styles, images, polices) sont autorisées à être chargées, empêchant les attaques par injection de code.
Détail technique
La CSP est délivrée via l'en-tête HTTP Content-Security-Policy ou une balise . Les directives contrôlent le chargement des ressources : script-src (JavaScript), style-src (CSS), img-src (images), font-src (polices), connect-src (XHR/fetch), frame-src (iframes), media-src (audio/vidéo). Les valeurs sources incluent 'self', 'unsafe-inline', 'unsafe-eval', 'nonce-{valeur}', 'sha256-{hash}' et les listes blanches de domaines. Le mode report-only (Content-Security-Policy-Report-Only) enregistre les violations sans les bloquer pour le déploiement graduel. L'utilisation de nonce ou hash est préférable à 'unsafe-inline' pour l'exécution de scripts.
Exemple
```javascript
// CSP: web API example
const response = await fetch('/api/resource');
const data = await response.json();
console.log(data);
```