Le HTTP Content-Security-Policy permet aux administrateurs de sites Web de contrôler les ressources que l'agent utilisateur est autorisé à charger pour une page donnée. À quelques exceptions près, les politiques consistent principalement à spécifier les origines du serveur et les points de terminaison des scripts. Cela permet de se prémunir contre les attaques de type cross-site scripting (XSS).

Pour plus d'informations, consultez l'article d'introduction sur la politique de sécurité du contenu (CSP).

Type d'en-tête En-tête de réponse
Nom de l'en-tête interdit pas de

Syntaxe

Content-Security-Policy: ; 

consiste en : sans ponctuation interne.

Directives

Directives de récupération

Les directives Fetch contrôlent les emplacements à partir desquels certains types de ressources peuvent être chargés.

child-src

Définit les sources valides pour travailleurs web et des contextes de navigation imbriqués chargés à l'aide d'éléments tels que et