CSP Img-Src Value
Checker ID: #17
v1.0.0-alpha
CSP Img-Src Value
Descrição
Controla de onde as imagens do seu site podem ser carregadas.
Importância
Se o seu site sofrer uma injeção de código (XSS), essa regra impede que o atacante carregue imagens maliciosas ou "pixels espiões" para rastrear seus usuários. Tecnicamente, se você não definir o img-src, o navegador vai obedecer o que estiver no default-src. Se nenhum dos dois existir, a porta fica aberta para qualquer imagem.
Requisitos de Sucesso
• Se presente, não deve conter * (qualquer lugar), http: (inseguro) ou data: (a menos que estritamente necessário).
• Deve listar origens confiáveis ou 'self'.
Cenários de Teste
Cenário Aprovado: Permite self e CDN confiável:
HTTP/1.1 200 OK
Content-Security-Policy: img-src 'self' https://images.cdn.com;
Content-Type: text/html; charset=UTF-8
Cenário Reprovado: Permite tudo (Inseguro):
HTTP/1.1 200 OK
Content-Security-Policy: img-src *;
Content-Type: text/html; charset=UTF-8