CSP
CSP (Content Security Policy)
Lapisan keamanan HTTP yang mengontrol sumber daya mana yang diizinkan untuk dimuat dan dieksekusi oleh halaman web, melindungi dari serangan cross-site scripting (XSS) dan injeksi data.
Detail Teknis
CSP dikirim melalui header HTTP Content-Security-Policy atau tag meta . Direktif mengontrol tipe sumber daya: default-src (fallback), script-src (JavaScript), style-src (CSS), img-src (gambar), connect-src (XHR/fetch), font-src, frame-src, media-src. Nilai sumber: 'self' (same-origin), 'none', 'unsafe-inline' (skrip/style inline — hindari), 'unsafe-eval', 'nonce-{random}' (per-permintaan skrip inline tepercaya), 'strict-dynamic' (kepercayaan dipropagasikan ke skrip yang dimuat), https: (semua HTTPS). Mode report-only: Content-Security-Policy-Report-Only mencatat pelanggaran tanpa memblokir — gunakan untuk pengujian. Pelaporan: report-uri /csp-report atau report-to (Reporting API). CSP Level 3 menambahkan: 'strict-dynamic', 'unsafe-hashes', navigasi/formulir/sumber worker.
Contoh
```javascript
// CSP: web API example
const response = await fetch('/api/resource');
const data = await response.json();
console.log(data);
```