Content Security Policy (CSP)
Header HTTP que define quais scripts/recursos podem executar. Defesa principal contra XSS.
CSP (Content-Security-Policy) é um header HTTP que instrui o browser sobre quais sources de scripts, styles, images, etc podem ser carregados. Bloqueia inline scripts, scripts de domínios não permitidos, eval(). Essencial para defesa em profundidade contra XSS.
Mesmo com sanitização, XSS pode acontecer. CSP é a 'última linha de defesa' — mesmo que script malicioso seja injetado, o browser bloqueia execução.
Configurar CSP estrito: script-src 'self' (e nonces para inline). Bloquear eval() com a ausência de unsafe-eval. Reportar violações via report-uri.
CSP é difícil de implementar do zero — quebra muitas libs/extensões. Use 'Content-Security-Policy-Report-Only' primeiro para detectar violações antes de impor.