Defaults.Exposed › Glossary › Content-Security-Policy (CSP)

Content-Security-Policy (CSP)

Also known as: CSP, política de seguridad de contenido

Un reglamento que tu sitio entrega al navegador, indicando exactamente qué código y contenido pueden ejecutarse — la principal defensa contra los atacantes que inyectan scripts maliciosos en tus páginas.

Qué es

Una Content-Security-Policy, o CSP (política de seguridad de contenido), es una lista de reglas que tu página web entrega al navegador del visitante indicando qué scripts, imágenes, estilos y demás contenido pueden cargarse y ejecutarse — y, por extensión, bloqueando todo lo demás. Es como darle al navegador una lista de invitados y decirle que rechace a cualquiera que no esté en ella.

Por qué le importa a tu negocio

Uno de los ataques web más comunes consiste en colar código malicioso en una página — a través de un cuadro de comentarios, un formulario, un complemento secuestrado o un widget de terceros comprometido. Una vez que ese código se ejecuta en el navegador de un visitante, puede robar inicios de sesión, secuestrar sesiones, copiar datos de tarjetas en el pago o desfigurar la página.

Una CSP es el cinturón de seguridad frente a esto. Aunque un atacante consiga colar código, el navegador se niega a ejecutar cualquier cosa que no esté en tu lista aprobada — así que el ataque se apaga en lugar de dispararse. Para un negocio que acepta pagos o inicios de sesión en su sitio, esta es una de las protecciones de mayor valor que puedes añadir, y no cuesta nada.

Cómo saberlo / qué hacer

Nuestro verificador gratuito te dice si tu sitio envía una Content-Security-Policy y avisa si falta. Como una CSP enumera el contenido específico de tu sitio, hay que adaptarla — la guía de corrección de CSP te guía para construir una con cuidado, de modo que te proteja sin romper nada que tu sitio use legítimamente. Configurarla es gratis.

Want to fix this on your own domain? See the free guide →