Glosario · Seguridad

CSP: Content Security Policy

Una cabecera HTTP que restringe de dónde puede cargar scripts, estilos, imágenes y otros recursos el navegador, mitigando ataques XSS.

Ejemplo de CSP mínimo:

Content-Security-Policy: default-src 'self'; script-src 'self' https://www.googletagmanager.com; style-src 'self' 'unsafe-inline'

Qué indica: "por defecto sólo carga desde mi dominio; scripts también desde Google Tag Manager; estilos inline permitidos".

Directivas más usadas:

  • default-src: fallback para todas las demás
  • script-src: orígenes permitidos para JavaScript
  • style-src: orígenes permitidos para CSS
  • img-src: orígenes permitidos para imágenes
  • connect-src: orígenes permitidos para fetch/XHR/WebSocket
  • frame-ancestors: quién puede embeber la web en un iframe (protección clickjacking)

Estrategia habitual: empezar con Content-Security-Policy-Report-Only para ver qué se bloquearía sin bloquear nada, ajustar durante 1-2 semanas, y activar definitivo.

Por qué importa

Un CSP bien configurado bloquea el 95 % de los ataques XSS aunque haya vulnerabilidades en el código. Es la red de seguridad cuando un desarrollador olvida escapar un valor. Añadirlo requiere trabajo inicial pero reduce masivamente la superficie de ataque.

Siguiente paso

¿Tienes un proyecto exigente entre manos?

Cuéntanos qué necesita tu empresa. En la primera llamada evaluamos viabilidad técnica, alcance y presupuesto cerrado. Sin compromiso.

Iniciar proyecto +34 659 998 350
Antes de irte

¿10 segundos para analizar tu web gratis?

Pon la URL de tu web y te damos el diagnóstico al momento: SEO, rich snippets, accesibilidad, seguridad y rendimiento. Sin registro ni email. Si después quieres informe humano, lo pides desde ahí.

Analizar mi web gratis