CSP Script-Src Value
Checker ID: #12
v0.1.1
CSP Script-Src Value
Importância
Controlar a origem dos scripts é a função mais crítica do Content-Security-Policy (CSP). Falhas na configuração da diretiva script-src comprometem a integridade da aplicação, pois permitem a execução não autorizada de código no navegador do usuário, tornando inútil qualquer outra restrição de segurança aplicada.
Descrição Técnica
Analisa a resposta HTTP retornada pelo servidor do website sob teste para confirmar se a diretiva script-src do cabeçalho Content-Security-Policy (CSP) está configurada com valores seguros.
Cenários de Teste
Cenário Aprovado: O parâmetro script-src contém uma lista de valores explicitamente permitidos e seguros
Content-Security-Policy: script-src 'self' https://trusted.example;
Cenário Reprovado: O parâmetro script-src contém alguns valores abrangentes e inseguros
Content-Security-Policy: script-src 'self' *.trusted.example https://trusted.example 'unsafe-inline';
Cenário Reprovado: O parâmetro script-src contém um valor abrangente e inseguro
Content-Security-Policy: script-src https:;