CSP
CSP (política de seguridad de contenido)
Un estándar de seguridad del navegador que permite a los propietarios de sitios web especificar qué fuentes de contenido (scripts, estilos, imágenes, fuentes) tienen permiso de carga, previniendo eficazmente los ataques de cross-site scripting (XSS) y la inyección de datos.
Detalle técnico
CSP se entrega mediante la cabecera HTTP Content-Security-Policy o una etiqueta . Las directivas incluyen: default-src (por defecto), script-src, style-src, img-src, font-src, connect-src (Ajax/WebSocket), frame-src, media-src, object-src. Los valores pueden ser 'self' (mismo origen), dominios específicos, 'unsafe-inline', 'unsafe-eval' (evitar estos), nonce-{valor} o hash-{valor}. El modo report-only (Content-Security-Policy-Report-Only) registra las violaciones sin aplicarlas, útil para la implementación gradual.
Ejemplo
```javascript
// CSP: web API example
const response = await fetch('/api/resource');
const data = await response.json();
console.log(data);
```