Defaults.Exposed

Defaults.ExposedGlossary › Content-Security-Policy (CSP)

Content-Security-Policy (CSP)

Also known as: CSP, politique de sécurité du contenu

Un règlement que votre site donne au navigateur, listant précisément quel code et quel contenu sont autorisés à s'exécuter — la principale défense contre les attaquants qui injectent des scripts malveillants dans vos pages.

Ce que c’est

Une Content-Security-Policy, ou CSP, est une liste de règles que votre site web remet au navigateur du visiteur, indiquant quels scripts, images, styles et autres contenus sont autorisés à se charger et à s’exécuter — et, par déduction, bloquant tout le reste. C’est comme donner au navigateur une liste d’invités en lui demandant de refouler tous ceux qui n’y figurent pas.

Pourquoi c’est important pour votre activité

L’une des attaques web les plus courantes consiste à glisser du code malveillant dans une page — via un champ de commentaire, un formulaire, une extension piratée ou un widget tiers compromis. Une fois ce code exécuté dans le navigateur d’un visiteur, il peut voler des identifiants, détourner des sessions, siphonner des informations de carte au moment du paiement, ou défigurer la page.

Une CSP est la ceinture de sécurité contre cela. Même si un attaquant parvient à glisser du code, le navigateur refuse d’exécuter tout ce qui ne figure pas sur votre liste approuvée — l’attaque fait long feu au lieu de se déclencher. Pour une entreprise qui encaisse des paiements ou gère des connexions sur son site, c’est l’une des protections à plus forte valeur que vous puissiez ajouter, et elle ne coûte rien.

Comment le vérifier / que faire

Notre vérificateur gratuit vous dit si votre site envoie une Content-Security-Policy et signale son absence. Comme une CSP liste le contenu spécifique de votre site, elle doit être adaptée sur mesure — le guide de correction CSP explique comment en construire une avec soin pour qu’elle vous protège sans casser ce que votre site utilise légitimement. Sa mise en place est gratuite.

Want to fix this on your own domain? See the free guide →