1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153
154
155
156
157
158
159
160
161
162
163
164
165
166
167
168
169
170
171
172
173
174
175
176
177
178
179
180
181
182
183
184
185
186
187
188
189
190
191
192
193
194
195
196
197
198
199
200
201
202
203
204
205
206
207
208
209
210
211
212
213
214
215
216
217
218
219
220
221
222
223
224
225
226
227
228
229
230
231
232
233
234
235
236
237
238
239
240
241
242
243
244
245
246
247
248
249
250
251
252
253
254
255
256
257
258
259
|
---
title: Content-Security-Policy
slug: Web/HTTP/Headers/Content-Security-Policy
tags:
- CSP
- Cabeçalho de Resposta
- HTTP
- Política de Segurança de Conteúdo
- Referencia
- Segurança
- cabeçalho
translation_of: Web/HTTP/Headers/Content-Security-Policy
---
<div>{{HTTPSidebar}}</div>
<p>O cabeçalho de resposta HTTP <strong><code>Content-Security-Policy</code></strong> permite aos administradores do site, ter controle sobre os recursos que o agente de usuário é permitido carregar para uma certa página. Com algumas pequenas exceções, políticas majoritariamente envolvem especificar as origens do servidor e pontos de acessos dos <em>scripts</em>. Isso ajuda contra ataques de <em>scripting</em> entre sites ({{Glossary("XSS")}}).</p>
<p>Para mais informações, veja o artigo introdutório em <a href="/en-US/docs/Web/HTTP/CSP">Política de Segurança de Conteúdo (<em>Content Security Policy</em>)(CSP)</a>.</p>
<table class="properties">
<tbody>
<tr>
<th scope="row">Tipo de cabeçalho</th>
<td>{{Glossary("Response header")}}</td>
</tr>
<tr>
<th scope="row">{{Glossary("Forbidden header name")}}</th>
<td>não</td>
</tr>
</tbody>
</table>
<h2 id="Sintaxe">Sintaxe</h2>
<pre class="syntaxbox">Content-Security-Policy: <policy-directive>; <policy-directive>
</pre>
<h2 id="Diretivas">Diretivas</h2>
<h3 id="Fetch_directives" name="Fetch_directives">{{Glossary("Fetch directive", "Fetch directives")}}</h3>
<p>Diretivas de busca (<em>Fetch directives</em>) controlam as localizações dos quais certos tipos de recursos podem ser carregados.</p>
<h4 id="Lista_de_Diretivas_de_busca_de_Política_de_Segurança_de_Conteúdo_CSP">Lista de Diretivas de busca de Política de Segurança de Conteúdo (CSP)</h4>
<dl>
<dt>{{CSP("child-src")}}</dt>
<dd>Define uma origem válida para <a href="/en-US/docs/Web/API/Web_Workers_API">web workers</a> e contextos aninhados de navegação carregados usando elementos como {{HTMLElement("frame")}} e {{HTMLElement("iframe")}}.
<div class="warning">
<p>Ao invés de <strong><code>child-src</code></strong>, os autores que querem regular contextos de navegação aninhadas e trabalhores devem usar as diretivas {{CSP("frame-src")}} e {{CSP("worker-src")}}, respectivamente.</p>
</div>
</dd>
<dt>{{CSP("connect-src")}}</dt>
<dd>Restringe a URL que pode ser carregada usando interfaces de script.</dd>
<dt>{{CSP("default-src")}}</dt>
<dd>Funciona como recuo para a outra {{Glossary("Fetch directive", "fetch directives")}}.</dd>
<dt>{{CSP("font-src")}}</dt>
<dd>Especifica origens válidas para as fontes de letras carregadas usando {{cssxref("@font-face")}}.</dd>
<dt>{{CSP("frame-src")}}</dt>
<dd>Especifica origens válidas para carregamento de contextos de navegação aninhados usando elementos como {{HTMLElement("frame")}} e {{HTMLElement("iframe")}}.</dd>
<dt>{{CSP("img-src")}}</dt>
<dd>Especifica origens válidas para imagens e ícones.</dd>
<dt>{{CSP("manifest-src")}}</dt>
<dd>Especifica origens válidas dos arquivos de manifesto da aplicação.</dd>
<dt>{{CSP("media-src")}}</dt>
<dd>Especifica origens válidas para carregar dados de media usando os elementos {{HTMLElement("audio")}} , {{HTMLElement("video")}} e {{HTMLElement("track")}}.</dd>
<dt>{{CSP("object-src")}}</dt>
<dd>Especifica origens válidas para os elementos {{HTMLElement("object")}}, {{HTMLElement("embed")}}, e {{HTMLElement("applet")}}.</dd>
<dd class="note">Elementos controlados por <code>object-src</code> sejam talvez considerados elementos HTML legados e não estão recebendo novas funcionalidades padrão (como os atributos de segurança <code>sandbox</code> ou <code>allow</code> para <code><iframe></code>). Sendo assim é <strong>recomendado</strong> restringir o uso desta diretiva (e.g. colocar explicitamente <code>object-src 'none'</code> se possível).</dd>
<dt>{{CSP("prefetch-src")}}{{experimental_inline}}</dt>
<dd>Especifica origens válidas para serem pré-carregadas ou pré-renderizadas.</dd>
<dt>{{CSP("script-src")}}</dt>
<dd>Especifica origens válidas para JavaScript.</dd>
<dt>{{CSP("script-src-elem")}}{{experimental_inline}}</dt>
<dd>Especifica origens válidas para elementos JavaScript {{HTMLElement("script")}}.</dd>
<dt>{{CSP("script-src-attr")}}{{experimental_inline}}</dt>
<dd>Especifica origens válidas para <em>handlers</em> de eventos JavaScript <em>inline</em>.</dd>
</dl>
<dl>
<dt>{{CSP("style-src")}}</dt>
<dd>Especifica origens válidas para arquivos de estilo.</dd>
<dt>{{CSP("style-src-elem")}}{{experimental_inline}}</dt>
<dd>Especifica origens válidas para elementos de estilo {{HTMLElement("style")}} e elementos {{HTMLElement("link")}} com <code>rel="stylesheet"</code>.</dd>
<dt>{{CSP("style-src-attr")}}{{experimental_inline}}</dt>
<dd>Especifica origens válidas para estilos dentro de linha aplicados a elementos DOM individuais.</dd>
<dt>{{CSP("worker-src")}}{{experimental_inline}}</dt>
<dd>Especifica origens válidas para scripts {{domxref("Worker")}}, {{domxref("SharedWorker")}}, ou {{domxref("ServiceWorker")}}.</dd>
</dl>
<h3 id="Document_directives" name="Document_directives">{{Glossary("Document directive", "Document directives")}}</h3>
<p>As diretivas de Documento governam as propriedades de um documento ou ambiente <a href="/en-US/docs/Web/API/Web_Workers_API">worker (trabalhador)</a> para qual a política se aplica.</p>
<h4 id="Lista_de_diretivas_de_Documento_da_Política_de_Segurança_de_Conteúdo">Lista de diretivas de Documento da Política de Segurança de Conteúdo</h4>
<dl>
<dt>{{CSP("base-uri")}}</dt>
<dd>Restringe as URLs que podem ser usadas em um elemento {{HTMLElement("base")}} do documento.</dd>
<dt>{{CSP("plugin-types")}}</dt>
<dd>Restringe o conjunto de <em>plugins</em> que podem ser embutidos em um documento limitando pelos tipos de conteúdos que podem ser carregados.</dd>
<dt>{{CSP("sandbox")}}</dt>
<dd>Habilita o <em>sandbox</em> para um recurso requisitado similar ao atributo {{htmlattrxref("sandbox", "iframe")}} de {{HTMLElement("iframe")}}.</dd>
</dl>
<h3 id="Navigation_directives" name="Navigation_directives">{{Glossary("Navigation directive", "Navigation directives")}}</h3>
<p>Diretivas de Navegação governam para qual localização um usuário pode navegar ou submeter um formulário para, por exemplo.</p>
<h4 id="Lista_de_diretivas_de_Navegação_da_Política_de_Segurança_de_Conteúdo">Lista de diretivas de Navegação da Política de Segurança de Conteúdo</h4>
<dl>
<dt>{{CSP("form-action")}}</dt>
<dd>Restringe as URLs que podem ser usadas como alvo para as submissões de um formulário para um dado contexto.</dd>
<dt>{{CSP("frame-ancestors")}}</dt>
<dd>Especifica pais válidos que podem embutir uma página usando {{HTMLElement("frame")}}, {{HTMLElement("iframe")}}, {{HTMLElement("object")}}, {{HTMLElement("embed")}}, ou {{HTMLElement("applet")}}.</dd>
<dt>{{CSP("navigate-to")}}{{experimental_inline}}</dt>
<dd>Restringe as URLs para qual um documento pode iniciar navegação quaisquer sejam os motivos, incluindo {{HTMLElement("form")}} (se {{CSP("form-action")}} não for especificado), {{HTMLElement("a")}}, {{DOMxRef("window.location")}}, {{DOMxRef("window.open")}}, etc.</dd>
</dl>
<h3 id="Reporting_directives" name="Reporting_directives">{{Glossary("Reporting directive", "Reporting directives")}}</h3>
<p>Diretivas de Relatório controlam o processo de reportar as violações CSP. Veja também o cabeçalho {{HTTPHeader("Content-Security-Policy-Report-Only")}}.</p>
<h4 id="Lista_de_Diretivas_de_Relatório_da_Política_de_Segurança_de_Conteúdo">Lista de Diretivas de Relatório da Política de Segurança de Conteúdo</h4>
<dl>
<dt>{{CSP("report-uri")}}{{deprecated_inline}}</dt>
<dd>Instrui ao agente de usuário para reportar tentativas de violaçnao de Política de Segurança de Conteúdo. Esses relatórios de violação consistem de documentos {{Glossary("JSON")}} enviados por requisição HTTP <code>POST</code> para uma URI especificada.
<div class="warning">
<p>Apesar da diretiva {{CSP("report-to")}} tem a inteção de trocar a diretiva depreciada <code><strong>report-uri</strong></code>, {{CSP("report-to")}} não é suportado na maioria dos navegadores ainda. Então para compatibilidade com os navegadores atuais enquanto adiciona a compatibilidade com {{CSP("report-to")}}, você pode especificar ambos <code><strong>report-uri</strong></code> e {{CSP("report-to")}}:</p>
<pre class="syntaxbox">Content-Security-Policy: ...; report-uri https://endpoint.example.com; report-to groupname</pre>
<p>Em navegadores que suportam {{CSP("report-to")}}, a diretiva <code><strong>report-uri</strong></code> será ignorada.</p>
</div>
</dd>
<dt>{{CSP("report-to")}}{{experimental_inline}}</dt>
<dd>Dispara um <code>SecurityPolicyViolationEvent</code>.</dd>
</dl>
<h3 id="Outras_diretivas">Outras diretivas</h3>
<dl>
<dt>{{CSP("block-all-mixed-content")}}</dt>
<dd>Previne carregamento de quaisquer recursos usando HTTP quando a página é carregada usando HTTPS.</dd>
<dt>{{CSP("referrer")}}{{deprecated_inline}}{{non-standard_inline}}</dt>
<dd>Era usado para especificar informação no cabeçalho de referência (sic) para links fora da página. Ao invés disso, use o cabeçalho {{HTTPHeader("Referrer-Policy")}}.</dd>
<dt>{{CSP("require-sri-for")}}{{experimental_inline}}</dt>
<dd>Obriga o uso de {{Glossary("SRI")}} para <em>scripts </em>ou estilos na página.</dd>
<dt>{{CSP("require-trusted-types-for")}}{{experimental_inline}}</dt>
<dd>Impõe <a href="https://w3c.github.io/webappsec-trusted-types/dist/spec/">Trusted Types</a> (Tipos confiáveis) em coletores de eventos (vide: <a href="https://en.wikipedia.org/wiki/Sink_(computing)">Sink (Computing)</a>) para evitar injeção de DOM XSS.</dd>
</dl>
<dl>
<dt>{{CSP("trusted-types")}}{{experimental_inline}}</dt>
<dd>Usado para especificar uma lista branca de políticas <a href="https://w3c.github.io/webappsec-trusted-types/dist/spec/">Trusted Types</a> (Tipos confiáveis) (Tipos confiáveis permitem aplicações travarem injeções DOM XSS em coletores de eventos (<em>sinks</em>) para aceitarem somente valores tipados não falsificáveis no lugar de <em>strings</em>.</dd>
</dl>
<dl>
<dt>{{CSP("upgrade-insecure-requests")}}</dt>
<dd>Instrui o usuário de agente a tratar todas as URLs inseguras de um site (aquelas servidas através do HTTP) a serem trocadas por URLs seguras (aqueles servidas através de HTTPS). Essa diretiva tem como foco sites com grande número de URLs inseguras e legadas que precisam ser reescritas.</dd>
</dl>
<h2 id="CSP_em_workerstrabalhadores">CSP em workers(trabalhadores)</h2>
<p><a href="/en-US/docs/Web/API/Worker">Workers (trabalhadores)</a> em geral não são governados pela política de segurança de conteúdo do documento (ou trabalhador pai) que os criou. Para especificar uma política de segurança de conteúdo para um trabalhador, coloque um cabeçalho de resposta <code>Content-Security-Policy</code> para a requisição que pediu o <em>script</em> do trabalhador em si.</p>
<p>A exceção à isso é se o <em>script</em> original do trabalhador é um identificador único global (por exemplo, se a URL tem um esquema de dados ou <em>blob</em>). Neste caso, o trabalhador herda a política de segurança de conteúdo do documento ou trabalhador que o criou.</p>
<h2 id="Múltiplas_políticas_de_segurança_de_conteúdo">Múltiplas políticas de segurança de conteúdo</h2>
<p>CSP permite múltiplas políticas sendo especificadas para um recurso, através dos cabeçalhos <code>Content-Security-Policy</code>, {{HTTPHeader("Content-Security-Policy-Report-Only")}} e do elemento {{HTMLElement("meta")}}.</p>
<p>Você pode usar o cabeçalho <code>Content-Security-Policy</code> mais de uma vez como no exemplo abaixo. Preste atenção a diretiva {{CSP("connect-src")}} aqui. Mesmo que a segunda política permitiria a conexão, a primeira política contém <code>connect-src 'none'</code>. Adicionando políticas adicionais <em>podem somente restringir</em> as capacidades do recurso protegido, o que significa que não haverá conexão permitida e, como política mais restrita, <code>connect-src 'none'</code> é imposto.</p>
<pre>Content-Security-Policy: default-src 'self' http://example.com;
connect-src 'none';
Content-Security-Policy: connect-src http://example.com/;
script-src http://example.com/</pre>
<h2 id="Exemplos">Exemplos</h2>
<p>Exemplo: Desabilitar <em>inline/eval</em> inseguros, permitindo somente carregamento de conteúdos (imagens, fontes de letras, scripts, etc.) através do HTTPS:</p>
<pre>// cabeçalho
Content-Security-Policy: default-src https:
// meta tag
<meta http-equiv="Content-Security-Policy" content="default-src https:">
</pre>
<p>Exemplo: Site pré-existente que usa muito código dentro de linha para corrigir mas quer assegurar que os recursos são carregador somente através de HTTPS e desabilita plugins:</p>
<pre>Content-Security-Policy: default-src https: 'unsafe-eval' 'unsafe-inline'; object-src 'none'</pre>
<p>Exemplo: Não implemente a política acima ainda, ao invés disso, somente reporte as violações que podem ter ocorrido:</p>
<pre>Content-Security-Policy-Report-Only: default-src https:; report-uri /csp-violation-report-endpoint/</pre>
<p>Veja as <a href="https://infosec.mozilla.org/guidelines/web_security#Examples_5">Mozilla Web Security Guidelines</a> para mais exemplos.</p>
<h2 id="Especificações">Especificações</h2>
<table class="standard-table">
<thead>
<tr>
<th scope="col">Especificação</th>
<th scope="col">Status</th>
<th scope="col">Comentários</th>
</tr>
</thead>
<tbody>
<tr>
<td>{{specName("CSP 3.0")}}</td>
<td>{{Spec2("CSP 3.0")}}</td>
<td>Adiciona <code>manifest-src</code>, <code>navigate-to</code>, <code>report-to</code>, <code>strict-dynamic</code>, <code>worker-src</code>. Desdeprecia <code>frame-src</code>. Deprecia <code>report-uri</code> em favor de <code>report-to</code>.</td>
</tr>
<tr>
<td>{{specName("Mixed Content")}}</td>
<td>{{Spec2("Mixed Content")}}</td>
<td>Adiciona <code>block-all-mixed-content</code>.</td>
</tr>
<tr>
<td>{{specName("Subresource Integrity")}}</td>
<td>{{Spec2("Subresource Integrity")}}</td>
<td>Adiciona <code>require-sri-for</code>.</td>
</tr>
<tr>
<td>{{specName("Upgrade Insecure Requests")}}</td>
<td>{{Spec2("Upgrade Insecure Requests")}}</td>
<td>Adiciona <code>upgrade-insecure-requests</code>.</td>
</tr>
<tr>
<td>{{specName("CSP 1.1")}}</td>
<td>{{Spec2("CSP 1.1")}}</td>
<td>Adiciona <code>base-uri</code>, <code>child-src</code>, <code>form-action</code>, <code>frame-ancestors</code>, <code>plugin-types</code>, <code>referrer</code>, and <code>report-uri</code>. Deprecia <code>frame-src</code>.</td>
</tr>
<tr>
<td>{{specName("CSP 1.0")}}</td>
<td>{{Spec2("CSP 1.0")}}</td>
<td>Define <code>connect-src</code>, <code>default-src</code>, <code>font-src</code>, <code>frame-src</code>, <code>img-src</code>, <code>media-src</code>, <code>object-src</code>, <code>report-uri</code>, <code>sandbox</code>, <code>script-src,</code> e <code>style-src</code>.</td>
</tr>
</tbody>
</table>
<h2 id="Browser_compatibility">Compatibilidade com navegadores</h2>
<p>{{Compat("http.headers.csp.Content-Security-Policy")}}</p>
<h2 id="Veja_também">Veja também</h2>
<ul>
<li>{{HTTPHeader("Content-Security-Policy-Report-Only")}}</li>
<li><a href="/en-US/docs/Web/HTTP/CSP">Aprenda sobre: Content Security Policy</a></li>
<li><a href="/en-US/docs/Mozilla/Add-ons/WebExtensions/Content_Security_Policy">Segurança de Conteúdo em Extensões Web</a></li>
<li><a href="https://csp.withgoogle.com/docs/strict-csp.html">Adotando uma política estrita</a></li>
<li><a href="https://csp-evaluator.withgoogle.com/">Avaliador CSP</a> - Avalie sua Política de Segurança de Conteúdo</li>
</ul>
|