Objectif
- Réduire les risques d’exécution ou d’affichage d’un contenu non désirable ou d’une source non autorisée.
Mise en œuvre
Activer l’en-tête HTTP Content-Security-Policy avec les directives CSP 1 appropriées :
- img-src pour les images ;
- script-src pour le JavaScript ;
- style-src pour les styles CSS ;
- font-src pour les webfonts ;
- etc.
Contrôle
Vérifier, à l’aide d’un outil d’inspection des en-têtes HTTP, la présence de l’en-tête Content-Security-Policy.