¿Qué es la política de seguridad del contenido (CSP, por sus siglas en inglés) y cómo puedo utilizarla con Cloudflare?

¿Qué es la Política de seguridad de contenido?

La Política de seguridad de contenido (CSP) es un estándar web que otorga a los desarrolladores web un control adicional sobre las ubicaciones desde las que un navegador del cliente puede cargar recursos desde/qué otros sitios se les permite interactuar con el sitio del desarrollador. Por ejemplo, un desarrollador podría especificar que cualquier tipo de contenido se puede cargar de forma segura desde su propio sitio y, además, que las imágenes se pueden cargar desde cualquier dominio, y que las bibliotecas y scripts de JavaScript solo se pueden cargar desde un dominio de terceros verificado y confiable, con esta política de muestra:

default-src 'self'; img-src *; script-src https://userscripts.example.com

¿Por qué usaría la Política de seguridad de contenido?

Una política configurada correctamente te brinda a ti y a tus usuarios seguridad adicional contra ciertos ataques. Comúnmente, se puede usar para prevenir y/o mitigar ataques que involucran inyección de contenido/código, como ataques de secuencias de comandos en sitios cruzados/XSS, ataques que requieren incrustar un recurso malicioso, ataques que involucran el uso malicioso de iframes, como ataques de clickjacking y otros. En términos más generales, te permite controlar desde dónde se puede cargar el contenido que muestran los clientes que visitan tu sitio.

¿Cómo puedo escribir uno?

Se pueden encontrar ejemplos de uso y políticas en https://developer.mozilla.org/en-US/docs/Web/Security/CSP/Using_Content_Security_Policy

http://w3c.github.io/webappsec-csp/ y https://developer.mozilla.org/en-US/docs/Web/Security/CSP/CSP_policy_directives proporcionan descripciones más completas de directivas y uso, así como consideraciones de implementación e información de asistencia al cliente.

https://developer.chrome.com/extensions/contentSecurityPolicy y https://developer.chrome.com/apps/contentSecurityPolicy proporcionan documentación específica para Chrome, pero se orienta más al desarrollo de extensiones/aplicaciones.

https://msdn.microsoft.com/en-us/library/dn904195%28v=vs.85%29.aspx proporciona documentación limitada para Edge.

 

¿Puedo/cómo uso la Política de seguridad de contenido con Cloudflare?

Sí, puedes usar una Política de seguridad de contenido con sitios detrás de Cloudflare. No modificamos el encabezado de Política de seguridad de contenido enviado por tu origen.

No es necesario realizar cambios a las fuentes aceptables para tu contenido propio/de terceros. El uso de Cloudflare no afecta ni modifica las URL que usas para incluir contenido y, por lo tanto, no interferirá con la capacidad de los clientes de hacer coincidir las ubicaciones especificadas en tu política con las ubicaciones usadas para incluir recursos.

Un ejemplo de encabezado CSP para usar con Rocket Loader 

script-src 'self' ajax.cloudflare.com;

Un ejemplo de CSP para usar con Mirage

script-src 'self' ajax.cloudflare.com;

Si usas las aplicaciones de Cloudflare o Scrape Shield, deberás permitir los scripts en línea en tu política, porque incluimos scripts en tu dominio y agregamos un código en línea cuando habilitas estas funciones. Aquí hay un ejemplo de CSP que puedes usar con estos:

script-src 'self' 'unsafe-inline'

¿No has encontrado una respuesta satisfactoria?

Nuestra herramienta de búsqueda puede contestar el 95% de las preguntas más comunes y es la mejor manera de conseguir una respuesta rápida.

Tecnología de Zendesk