Nuevos labs cada semana — Accede a todos desde 5€/mes

CSP

Informativo

Content Security Policy

Definición

Content Security Policy (CSP) es un mecanismo de seguridad implementado mediante una cabecera HTTP que permite a los sitios web controlar qué recursos (scripts, estilos, imágenes, etc.) puede cargar el navegador. CSP es la defensa principal contra XSS, ya que puede bloquear la ejecución de scripts inline y restringir las fuentes de scripts permitidas.

Impacto

Mitigación principal contra ataques XSSControl granular de las fuentes de recursos permitidasPrevención de carga de scripts de dominios no autorizadosReportes de violaciones para detectar intentos de ataqueBypass de CSP puede amplificar el impacto de otras vulnerabilidades

Ejemplos

Ejemplo de CSP y bypasses comunes

Una CSP bien configurada usa nonces o hashes para permitir solo scripts específicos. Una CSP débil con 'unsafe-inline' o que incluye dominios con endpoints JSONP puede ser bypasseada, anulando la protección contra XSS.

# CSP estricta (buena)
Content-Security-Policy: default-src 'self'; script-src 'self' 'nonce-abc123'

# CSP débil (vulnerable a bypass)
Content-Security-Policy: script-src 'self' 'unsafe-inline' 'unsafe-eval'

# CSP con JSONP bypass
Content-Security-Policy: script-src 'self' https://accounts.google.com

# Bypass usando endpoint JSONP de Google:
<script src="https://accounts.google.com/o/oauth2/revoke?callback=alert(1)"></script>

Referencias externas

MDN - Content Security Policy Google CSP Evaluator

Términos relacionados

XSS

Cross-Site Scripting

SOP

Same-Origin Policy / Política del Mismo Origen

CORS

Cross-Origin Resource Sharing

Clickjacking

Clickjacking / UI Redressing

DOM Clobbering

Practica CSP con labs reales

Aplica lo que has aprendido en entornos seguros basados en reportes de bug bounty.

Ver labs de práctica