<div class="note__header">
  <h2 class="note__header__title">Content Security Policy (CSP)</h2>

  <div class="note__tags">
    <span class="note__published-date">15/11/2022</span>
    <span class="tag">http</span><span class="tag">security</span>
  </div>
</div>
<div class="note__content-wrapper ck ck-editor">
  <div class="note__toc">
    <div>
      
    </div>
  </div>
  <div class="note__content ck ck-content">
    <blockquote><p style="text-align:justify;"><strong>Content Security Policy</strong> <span style="color:rgb(27,27,27);">(</span><a target="_blank" rel="noopener noreferrer" href="https://developer.mozilla.org/en-US/docs/Glossary/CSP"><u>CSP</u></a><span style="color:rgb(27,27,27);">) </span>is an added layer of security that helps to detect and mitigate certain types of attacks, including Cross-Site Scripting (<a target="_blank" rel="noopener noreferrer" href="https://developer.mozilla.org/en-US/docs/Glossary/Cross-site_scripting"><u>XSS</u></a>) and data injection attacks. These attacks are used for everything from data theft, to site defacement, to malware distribution.</p></blockquote><p style="text-align:justify;">CSP là một lớp security trong việc giới hạn nguồn của resource được load cho một page. Backend cần gửi về các option trong header <code>Content-Security-Policy</code>. Browser chịu trách nhiệm implement các cơ chế giới hạn đó. Chỉ cần chỉ định header <code>Content-Security-Policy</code> cho các resource cho execution context như: HTML, embedded resource (frame, embed).</p><p style="text-align:justify;">Ví dụ bạn có /index trả về HTML, trong HTML có load script.js, style.css, thì chỉ cần set header <code>Content-Security-Policy</code> cho response của /index. Các resource load từ page /index sẽ tuân theo policy của /index.</p><p style="text-align:justify;">Tham khảo các <a target="_blank" rel="noopener noreferrer" href="https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Content-Security-Policy#directives">directive</a>.</p>
  </div>
</div>
