Logo da CarameloSec - Plataforma de análise de segurança automatizada

CSP Media-Src Value

Checker ID: #19

v1.0.0-alpha

CSP Media-Src Value

Descrição

Controla de onde arquivos de áudio e vídeo (tags <audio> e <video>) podem ser carregados.

Importância

Reduz o risco de conteúdo malicioso, rastreamento de usuários e abuso de recursos de banda. Garanta que seus arquivos de mídia venham apenas do seu próprio servidor ou de provedores oficiais confiáveis.

Requisitos de Sucesso

  • • O parâmetro media-src deve estar presente, ou deve existir um default-src seguro ('none' ou 'self') que sirva de fallback.

  • • Valores aceitos: 'self', 'none', URLs HTTPS específicas de provedores de mídia conhecidos (ex.: https://cdn.videos.com, https://www.youtube.com, https://player.vimeo.com, https://s3.amazonaws.com).

Cenários de Teste
Cenário Aprovado: Permite apenas o próprio servidor e um CDN de vídeo confiável: 
HTTP/1.1 200 OK
Content-Security-Policy: media-src 'self' https://cdn.videos.com;
Content-Type: text/html; charset=UTF-8
Cenário Aprovado: Sem media-src, mas com default-src seguro como fallback: 
HTTP/1.1 200 OK
Content-Security-Policy: default-src 'self';
Content-Type: text/html; charset=UTF-8
Cenário Reprovado: Permite mídia de qualquer origem (abre brecha para conteúdo malicioso e rastreamento via arquivos de áudio/vídeo): 
HTTP/1.1 200 OK
Content-Security-Policy: media-src *;
Content-Type: text/html; charset=UTF-8