CSP Connect-Src Value
Checker ID: #22
v1.0.0-alpha
CSP Connect-Src Value
Descrição
Define para onde o seu site pode "telefonar" (fazer requisições de dados em segundo plano) via Scripts (AJAX, Fetch, WebSockets).
Importância
Esta é a linha direta de dados. Se um script malicioso conseguir rodar no seu site, o connect-src impede que ele envie os dados roubados para o servidor do hacker. Lembre-se de incluir protocolos como 'wss:' se usar WebSockets.
Requisitos de Sucesso
• Deve listar apenas as APIs que o seu site consome legitimamente.
• O valor * é extremamente perigoso aqui.
Cenários de Teste
Cenário Aprovado: API própria e WebSockets:
HTTP/1.1 200 OK
Content-Security-Policy: connect-src 'self' https://api.caramelosec.com wss://ws.caramelosec.com;
Content-Type: text/html; charset=UTF-8
Cenário Reprovado: Qualquer lugar (Abre as portas para exfiltração de dados):
HTTP/1.1 200 OK
Content-Security-Policy: connect-src *;
Content-Type: text/html; charset=UTF-8