Logo da CarameloSec - Plataforma de análise de segurança automatizada

CSP Img-Src Value

Checker ID: #17

v1.0.0-alpha

CSP Img-Src Value

Descrição

Controla de onde as imagens do seu site podem ser carregadas.

Importância

Se o seu site sofrer uma injeção de código (XSS), essa regra impede que o atacante carregue imagens maliciosas ou “pixels espiões” para rastrear seus usuários. Se o img-src não estiver definido, o navegador obedece ao default-src. Se nenhum dos dois existir, a porta fica aberta para imagens de qualquer origem.

Requisitos de Sucesso

  • • O parâmetro img-src deve estar presente, ou deve existir um default-src seguro ('none' ou 'self') que sirva de fallback.

  • • Valores aceitos: 'self', 'none', URLs HTTPS específicas (ex.: https://images.cdn.com).

  • • Valores proibidos: * (qualquer origem), http: (conexões sem criptografia), data: (a menos que estritamente necessário e justificado).

Cenários de Teste
Cenário Aprovado: Parâmetro img-src declarado explicitamente com origens confiáveis: 
HTTP/1.1 200 OK
Content-Security-Policy: img-src 'self' https://images.cdn.com;
Content-Type: text/html; charset=UTF-8
Cenário Aprovado: Sem img-src, mas com default-src seguro como fallback (o default-src cobre as imagens neste caso): 
HTTP/1.1 200 OK
Content-Security-Policy: default-src 'self';
Content-Type: text/html; charset=UTF-8
Cenário Reprovado: Permite imagens de qualquer origem (abre brecha para pixels espiões e conteúdo malicioso): 
HTTP/1.1 200 OK
Content-Security-Policy: img-src *;
Content-Type: text/html; charset=UTF-8