CSP Object-Src Value
Checker ID: #7
v1.0.0-alpha
CSP Object-Src Value
Descrição
Verifica se o “segurança da balada” (Content Security Policy - CSP) está impedindo a entrada de tecnologias jurássicas e perigosas (Flash, Java Applets).
Importância
Hackers adoram usar tags antigas como <object> ou <embed> para burlar segurança. Hoje em dia, sites modernos não precisam disso. Essa regra garante que essas portas antigas estejam concretadas.
Requisitos de Sucesso
• O cabeçalho Content-Security-Policy deve conter o parâmetro object-src e seu valor deve ser igual a 'none' (Não permitir tecnologias antigas e inseguras).
Cenários de Teste
Cenário Aprovado: O parâmetro object-src contém o valor 'none' (nenhum plugin legado permitido):
Content-Security-Policy: object-src 'none';
Cenário Reprovado: O parâmetro object-src contém o valor 'self' — ainda permite plugins do próprio domínio, o que abre brechas desnecessárias:
Content-Security-Policy: object-src 'self';
Cenário Reprovado: O parâmetro object-src contém o valor * (qualquer plugin de qualquer origem — extremamente perigoso):
Content-Security-Policy: object-src *;