Logo da CarameloSec - Plataforma de análise de segurança automatizada

CSP Style-Src Value

Checker ID: #18

v1.0.0-alpha

CSP Style-Src Value

Descrição

Define quem tem permissão para “vestir” o site (arquivos CSS e estilos).

Importância

Um CSS malicioso pode ser usado para esconder avisos de segurança, falsificar botões ou vazar dados via seletores CSS. Para estilos inline legítimos, utilize Nonces ('nonce-...') ou Hashes (sha256-...).

Requisitos de Sucesso

  • • O parâmetro style-src deve estar presente, ou deve existir um default-src seguro ('none' ou 'self') que sirva de fallback.

  • • Valores aceitos: 'self', 'none', URLs HTTPS específicas (ex.: https://fonts.googleapis.com), 'nonce-...' (senha criptográfica única por requisição), 'sha256-...', 'sha384-...', 'sha512-...' (hashes de estilos conhecidos).

  • • Valor proibido: * (qualquer origem de CSS).

Cenários de Teste
Cenário Aprovado: Whitelist explícita com próprio domínio e Google Fonts: 
HTTP/1.1 200 OK
Content-Security-Policy: style-src 'self' https://fonts.googleapis.com;
Content-Type: text/html; charset=UTF-8
Cenário Aprovado: Sem style-src, mas com default-src seguro como fallback: 
HTTP/1.1 200 OK
Content-Security-Policy: default-src 'self';
Content-Type: text/html; charset=UTF-8
Cenário Reprovado: Permite CSS de qualquer origem (estilos maliciosos podem alterar a aparência do site para enganar usuários): 
HTTP/1.1 200 OK
Content-Security-Policy: style-src *;
Content-Type: text/html; charset=UTF-8