Logo da CarameloSec - Plataforma de análise de segurança automatizada

CSP Connect-Src Value

Checker ID: #22

v1.0.0-alpha

CSP Connect-Src Value

Descrição

Define para onde o seu site pode “telefonar” — ou seja, fazer requisições de dados em segundo plano via AJAX, Fetch, XMLHttpRequest e WebSockets.

Importância

Esta é a linha direta de saída de dados. Se um script malicioso conseguir rodar no seu site, o connect-src impede que ele envie dados roubados (senhas, tokens, informações pessoais) para o servidor do atacante. Inclua também os protocolos WebSocket (wss://) se o seu site usar conexões em tempo real.

Requisitos de Sucesso

  • • O parâmetro connect-src deve estar presente, ou deve existir um default-src seguro ('none' ou 'self') que sirva de fallback.

  • • Valores aceitos: 'self', 'none', URLs HTTPS específicas das APIs que o site consome legitimamente (ex.: https://api.caramelosec.com), e domínios WebSocket seguros via wss:// (ex.: wss://ws.caramelosec.com).

  • • O valor * é extremamente perigoso aqui — permite que scripts exfiltrem dados para qualquer servidor — e é proibido.

Cenários de Teste
Cenário Aprovado: API própria via HTTPS e WebSocket seguro: 
HTTP/1.1 200 OK
Content-Security-Policy: connect-src 'self' https://api.caramelosec.com wss://ws.caramelosec.com;
Content-Type: text/html; charset=UTF-8
Cenário Aprovado: Sem connect-src, mas com default-src seguro como fallback: 
HTTP/1.1 200 OK
Content-Security-Policy: default-src 'self';
Content-Type: text/html; charset=UTF-8
Cenário Reprovado: Qualquer destino permitido — scripts maliciosos podem enviar dados roubados para qualquer servidor: 
HTTP/1.1 200 OK
Content-Security-Policy: connect-src *;
Content-Type: text/html; charset=UTF-8