CSP Default-Src Value
Checker ID: #6
CSP Default-Src Value
Confere se a regra "Mãe" do Content Security Policy (CSP) está definida. O default-src é o chefe: se uma regra específica (como imagens ou scripts) não for definida, é ele quem decide quem entra e quem sai.
Esta é a única regra obrigatória do CSP. Sem ela, a casa fica sem comando. Ela define o comportamento padrão para tudo que não foi especificado. Aceitamos tanto uma postura "bloqueia tudo" quanto uma postura "confia na casa", desde que exista uma definição.
• O cabeçalho Content-Security-Policy deve conter o parâmetro default-src e seu valor deve ser 'none' (bloqueia tudo por padrão) ou 'self' (permite coisas do próprio site por padrão).
HTTP/1.1 200 OK
Content-Security-Policy: default-src 'none';
Content-Type: text/html; charset=UTF-8HTTP/1.1 200 OK
Content-Security-Policy: default-src 'self';
Content-Type: text/html; charset=UTF-8HTTP/1.1 200 OK
Content-Security-Policy: default-src *;
Content-Type: text/html; charset=UTF-8HTTP/1.1 200 OK
Content-Security-Policy: script-src 'self';
Content-Type: text/html; charset=UTF-8CSP Default-Src Value
Confere se a resposta padrão do “segurança da balada” (Content Security Policy - CSP) é "NÃO PODE ENTRAR".
Quando uma regra de segurança não é definida, o navegador acaba sendo “bonzinho demais” e deixa passar muita coisa. A diretiva default-src 'none' corrige isso ao adotar a postura mais segura: na dúvida, bloqueia tudo. É melhor que algo do site deixe de funcionar do que abrir espaço para a entrada de um código malicioso.
• O cabeçalho Content-Security-Policy deve conter o parâmetro default-src e seu valor deve ser igual a 'none'.
Content-Security-Policy: default-src 'none';Content-Security-Policy: default-src 'self';Content-Security-Policy: default-src *;