📖
Segurança

CSP

Content Security Policy. Header HTTP que restringe o que pode executar na página.

📚 O que é

Define allowlist de sources para scripts, styles, imagens, fonts, etc. Bloqueia inline scripts sem nonce. Previne execução mesmo se XSS ocorrer. Implementação: Content-Security-Policy header ou meta tag.

✅ Quando usar

Em toda aplicação de produção com dados sensíveis. Com Report-Only primeiro para detectar violações.

🚫 Quando NÃO usar

Nunca como única defesa — use junto com sanitização, SameSite, HttpOnly.

👍 Prós
Defesa em profundidade
Bloqueia XSS mesmo se sanitização falha
Relatórios de violação
Afeta SEO positivamente (confiança)
👎 Contras
Complexo de configurar
Pode quebrar libs de terceiros
Inline scripts precisam de nonces
CDNs precisam ser whitelistadas
🔗 Termos relacionados
XSS
Segurança

Cross-Site Scripting. Injeção de JavaScript malicioso em página confiável.

CSRF
Segurança

Cross-Site Request Forgery. Site malicioso dispara ação em seu site usando cookies do usuário.

CORS
Segurança

Cross-Origin Resource Sharing. Browser bloqueia requests cross-origin por padrão. Servidor pode liberar via headers.

HttpOnly
Segurança

Flag de cookie que impede acesso via JavaScript. Protege contra roubo de token por XSS.

SameSite
Segurança

Flag de cookie que controla envio em requests cross-site. Principal defesa contra CSRF.