Analizador de CSP

Content Security Policy es una cabecera de respuesta HTTP que indica a los navegadores qué fuentes están autorizadas para cargar scripts, estilos, imágenes y otros recursos en su página. Es la principal defensa contra los ataques de Cross-Site Scripting (XSS): una CSP correctamente configurada impide que los scripts inyectados se ejecuten incluso si un atacante encuentra una vulnerabilidad XSS.

'unsafe-inline' permite JavaScript en línea (scripts en etiquetas <script>, atributos onclick, URLs javascript:). Este es el vector XSS más común: significa que cualquier script en línea inyectado puede ejecutarse. El uso de nonces (tokens de un solo uso criptográficos generados por solicitud) o hashes (SHA-256 de scripts permitidos) le permite autorizar scripts en línea específicos sin habilitar todos los scripts en línea.

Sus directivas script-src y connect-src son esencialmente una lista de permisos de quién puede ejecutar código y recibir datos de su página. Si ha incluido en la lista blanca Google Analytics, Facebook, TikTok y LinkedIn en su CSP, está autorizando explícitamente a esas empresas a ejecutar código en sus páginas y potencialmente exfiltrar datos de usuarios. Es una lista de autorización de procesadores de datos GDPR oculta en sus cabeceras HTTP.

object-src controla los elementos <object>, <embed> y <applet>, históricamente usados para cargar Flash, Java y otros plugins. Establecer object-src: 'none' impide que se cargue cualquier contenido de plugin, eliminando toda una clase de ataques y la potencial exfiltración de datos de terceros mediante contenido de plugins. Siempre debe establecerse en 'none' en los sitios modernos.

Content-Security-Policy aplica la política: los navegadores bloquean las infracciones. Content-Security-Policy-Report-Only solo registra las infracciones en un endpoint de informe sin bloquear nada. Report-Only es útil para probar una nueva CSP antes de aplicarla, pero no proporciona protección real alguna. Un error común es implementar accidentalmente Report-Only en lugar de la cabecera aplicada.

La mayoría de las herramientas CSP solo comprueban unsafe-inline y directivas faltantes. Este analizador además cruza su script-src y connect-src con una base de datos de más de 35 dominios de rastreo y publicidad conocidos, mostrándole exactamente qué intermediarios de datos y redes publicitarias tienen permiso CSP explícito para ejecutarse en su sitio: un ángulo único centrado en la privacidad.

base-uri controla qué URLs pueden usarse en el elemento HTML <base>. Si un sitio es vulnerable a la inyección HTML (pero no a la inyección de scripts), un atacante puede inyectar <base href="https://atacante.com/"> para redirigir todas las URLs relativas (como los destinos de acción de formularios) a su servidor. Establecer base-uri: 'none' o base-uri: 'self' elimina este vector de ataque.