CSP Style-Src Value
Checker ID: #18
v1.0.0-alpha
CSP Style-Src Value
Descrição
Define quem tem permissão para "vestir" o site (arquivos CSS).
Importância
Um CSS malicioso pode ser usado para esconder avisos de segurança, falsificar botões ou vazar dados. Para corrigir estilos inline ('unsafe-inline') de forma segura, prefira usar Nonces ('nonce-...') ou Hashes (sha256-...) em vez de liberar geral.
Requisitos de Sucesso
• Deve evitar 'unsafe-inline' sempre que possível.
• Aceita 'self', URLs de fontes confiáveis, nonces ou hashes.
Cenários de Teste
Cenário Aprovado: Permite self e Google Fonts:
HTTP/1.1 200 OK
Content-Security-Policy: style-src 'self' https://fonts.googleapis.com;
Content-Type: text/html; charset=UTF-8
Cenário Reprovado: Permite tudo:
HTTP/1.1 200 OK
Content-Security-Policy: style-src *;
Content-Type: text/html; charset=UTF-8