CSP est un mécanisme reposant sur la définition d'une politique de sécurité ainsi que de son application par le navigateur supportant ces fonctionnalités. Nous proposons dans cet article de décrire les fonctionnalités de ces nouveaux mécanismes de sécurité qui sont sans aucun doute prometteurs tout en s'efforçant d'évaluer la faisabilité de leur mise en œuvre dans des conditions réalistes.
1. Introduction
Proposé initialement par Brandon Sterne de Mozilla en 2008 [STERNE], ce mécanisme de sécurité avait été originellement imaginé pour prévenir de nombreuses classes de vulnérabilités Web, allant des XSS aux CSRF/XSRF.
Le temps passant, la spécification de ce nouveau standard, portée par le W3C, s'est concentrée sur la prévention des failles d'injection dans le document Web ce qui englobe les failles de type XSS. Aujourd'hui, la version « W3C Candidate Recommandation » de la spécification CSP est en révision 1.0 [CSP1.0] et des évolutions sont en cours de développement, pour le moment notées en tant que révision 1.1 [CSP1.1].
Ce mécanisme de sécurité a pour but d'appliquer une politique de sécurité édictée par le site Web, qui sera appliquée par le navigateur, sur le contenu récupérable par le document issu du site Web. Typiquement, il serait possible de décrire une liste blanche de ressources autorisées à être...
- Accédez à tous les contenus de Connect en illimité
- Découvrez des listes de lecture et des contenus Premium
- Consultez les nouveaux articles en avant-première