La CSP, o Content Security Policy en inglés, es una capa adicional de seguridad utilizada en medicina para prevenir y mitigar algunos tipos de ataques, como el Cross Site Scripting (XSS) y los ataques de inyección de datos. Estos ataques pueden ser utilizados con diversos propósitos, desde robar información hasta desfigurar sitios web o distribuir malware.
Mitigando el Cross Site Scripting
El principal objetivo de la CSP es mitigar y reportar ataques XSS. Estos ataques aprovechan la confianza del navegador en el contenido que recibe del servidor. El navegador de la víctima ejecutará los scripts maliciosos porque confía en la fuente del contenido, incluso si dicho contenido no proviene de donde se supone. La CSP permite a los administradores de servidores reducir o eliminar las posibilidades de XSS al especificar los dominios que el navegador considerará como fuentes válidas de scripts ejecutables. Un navegador compatible con CSP solo ejecutará scripts de los archivos fuentes especificados en la lista blanca de dominios, ignorando completamente cualquier otro script, incluyendo los scripts en línea y los atributos de HTML de manejo de eventos. En casos extremos, los sitios que no requieran scripts pueden optar por rechazar globalmente la ejecución de scripts.
Mitigando los ataques de análisis de paquetes
Además de restringir los dominios desde los cuales se puede cargar el contenido, la CSP también permite especificar los protocolos que se pueden utilizar. Por ejemplo, un servidor puede especificar que todo el contenido debe cargarse utilizando HTTPS. Una estrategia completa de seguridad en la transmisión de datos incluye no solo aplicar HTTPS para la transferencia de datos, sino también marcar todas las cookies con el indicador de seguridad y proporcionar redirecciones automáticas desde las páginas HTTP a sus homólogas HTTPS. Los sitios también pueden utilizar la cabecera HTTP Strict-Transport-Security para garantizar que los navegadores se conecten a ellos solo a través de un canal cifrado.
Utilizando CSP
La configuración de la Política de Seguridad del Contenido consiste en agregar a una página web la cabecera HTTP Content-Security-Policy y darle valores para controlar los recursos que el agente de usuario puede cargar para esa página. Por ejemplo, una página que carga y muestra imágenes podría permitir imágenes desde cualquier lugar, pero restringir una acción de formulario a una ruta específica. Una Política de Seguridad de Contenido adecuadamente diseñada ayuda a proteger una página contra un ataque de scripts entre sitios. A continuación, se presentan algunos ejemplos de casos de uso frecuentes:
- Ejemplo 1: Un administrador del sitio web desea que todo el contenido provenga del mismo origen que el del sitio, excluyendo subdominios. Content-Security-Policy: default-src 'self'
- Ejemplo 2: El administrador de un sitio web desea permitir el contenido de un dominio de confianza y todos sus subdominios. Content-Security-Policy: default-src 'self' *.trusted.com
- Ejemplo 3: El administrador de un sitio web desea permitir que los usuarios de una aplicación web incluyan imágenes de cualquier origen en su propio contenido, pero restringir los medios de audio o video a proveedores de confianza, y todas las secuencias de comandos solo a un servidor específico que aloja un código de confianza. Content-Security-Policy: default-src 'self'; img-src *; media-src mediacom mediacom; script-src userscripts.example.com
- Ejemplo 4: Un administrador de un sitio web de banca en línea quiere asegurarse de que todo su contenido se cargue mediante SSL. Content-Security-Policy: default-src https://onlinebanking.jumbobank.com
- Ejemplo 5: El administrador de un sitio de correo web desea permitir HTML en el correo electrónico, así como imágenes cargadas desde cualquier lugar, pero no JavaScript u otro contenido potencialmente peligroso. Content-Security-Policy: default-src 'self' *.mailsite.com; img-src *
Comprobando una política
Para facilitar la implementación, la CSP se puede implementar en modo de solo informe. En este modo, la política no se aplica, pero cualquier violación se informa a un URI proporcionado. También se puede utilizar una cabecera de solo informe para probar una futura revisión de una política sin implementarla realmente. Se puede utilizar la cabecera HTTP Content-Security-Policy-Report-Only para especificar una política de esta manera. Si la cabecera Content-Security-Policy-Report-Only y la cabecera Content-Security-Policy están presentes en la misma respuesta, ambas políticas se cumplen. La política especificada en la cabecera Content-Security-Policy se aplica, mientras que la política Content-Security-Policy-Report-Only genera informes pero no se aplica.
Habilitación de informes
Por defecto, los informes de violación no son enviados. Para habilitar los informes de violación, se debe especificar la directiva de políticas report-uri, proporcionando al menos un URI al que entregar los informes. Luego, se debe configurar el servidor para recibir los informes y almacenarlos o procesarlos de la manera que se considere apropiada.
La CSP es una capa adicional de seguridad utilizada en medicina para prevenir y mitigar ataques como el XSS y la inyección de datos. Permite a los administradores de servidores especificar los dominios que el navegador considerará como fuentes válidas de scripts ejecutables, reduciendo así las posibilidades de XSS. Además, la CSP también permite restringir los dominios y protocolos desde los cuales se puede cargar el contenido, mejorando la seguridad en la transmisión de datos. Su implementación se realiza a través de la configuración de la cabecera HTTP Content-Security-Policy, y se pueden utilizar diferentes directivas para controlar los recursos que el navegador puede cargar para una página web.