CSP
CSP (سياسة أمان المحتوى)
معيار أمان في المتصفح يسمح لأصحاب المواقع بتحديد مصادر المحتوى (البرامج النصية والأنماط والصور والخطوط) المسموح بتحميلها، مما يوفر دفاعًا قويًا ضد هجمات البرمجة عبر المواقع (XSS) وحقن البيانات.
التفاصيل التقنية
يتم تسليم CSP عبر رأس HTTP Content-Security-Policy أو علامة . تشمل التوجيهات default-src (الاحتياطي) وscript-src (مصادر JavaScript) وstyle-src (CSS) وimg-src (الصور) وconnect-src (fetch/XHR) وfont-src وframe-src. يمكن أن تكون القيم 'self' (نفس المصدر) أو نطاقات محددة أو 'unsafe-inline' (غير موصى به) أو 'nonce-{عشوائي}' أو 'sha256-{تجزئة}'. ترسل توجيهات report-uri/report-to تقارير الانتهاكات إلى نقطة نهاية محددة. تقضي سياسات CSP الصارمة فعليًا على XSS المباشر عن طريق مطالبة جميع البرامج النصية بامتلاك nonces أو تجزئات.
مثال
```javascript
// CSP: web API example
const response = await fetch('/api/resource');
const data = await response.json();
console.log(data);
```