Home / Blog / Cybersécurité / Content Security Policy (CSP) :...
Cybersécurité 2026-01-23

Content Security Policy (CSP) : Implémentation Complète pour Sécuriser Votre Site Web

Introduction : L'importance cruciale de la Content Security Policy (CSP)

Dans le paysage numérique actuel, la sécurité des applications web est primordiale. Les attaques de type Cross-Site Scripting (XSS), Clickjacking et autres injections de code malveillant représentent des menaces constantes. La Content Security Policy (CSP) offre une protection significative contre ces menaces. En définissant et en contrôlant les ressources que le navigateur est autorisé à charger, CSP limite l'exposition aux attaques potentielles et renforce la sécurité de votre site web.

Comprendre les Fondamentaux de la Content Security Policy

La Content Security Policy est une couche de sécurité supplémentaire qui permet de contrôler les ressources que le navigateur est autorisé à charger pour un site web donné. Elle est implémentée via un en-tête HTTP (Content-Security-Policy) envoyé par le serveur. Ce dernier contient un ensemble de directives qui définissent les sources de contenu permises pour différents types de ressources, telles que les scripts, les feuilles de style, les images, les polices, les médias, etc.

Les Directives Clés de CSP

  • default-src : Cette directive définit la source par défaut pour la plupart des types de ressources. Si une directive spécifique n'est pas définie, default-src est utilisée.
  • script-src : Spécifie les sources autorisées pour les scripts JavaScript. C'est l'une des directives les plus importantes pour se protéger contre les attaques XSS.
  • style-src : Détermine les sources autorisées pour les feuilles de style (CSS).
  • img-src : Définit les sources permises pour les images.
  • font-src : Contrôle les sources autorisées pour les polices.
  • media-src : Spécifie les sources autorisées pour les médias (vidéos, audios, etc.).
  • frame-src : Définit les sources autorisées pour les iframes (remplacée par child-src dans les versions plus récentes).
  • child-src : Remplace frame-src et contrôle les sources pour les iframes et les workers.
  • connect-src : Spécifie les sources autorisées pour les requêtes HTTP (AJAX, WebSockets, etc.).
  • object-src : Définit les sources autorisées pour les plugins, tels que les applets Java.

Valeurs possibles pour les directives

Chaque directive peut prendre plusieurs valeurs. Voici quelques-unes des valeurs les plus courantes :

  • 'self' : Permet de charger des ressources depuis la même origine (domaine, protocole et port).
  • 'none' : Bloque toutes les ressources de ce type.
  • '*' : Autorise toutes les sources (à utiliser avec prudence).
  • data: : Permet de charger des ressources en tant que data URI.
  • blob: : Permet de charger des ressources en tant que blob URL.
  • https://example.com : Autorise une source spécifique.
  • 'unsafe-inline' : Permet d'utiliser du code CSS et JavaScript en ligne (à éviter autant que possible).
  • 'unsafe-eval' : Permet l'utilisation de fonctions telles que eval() (également à éviter).

Implémentation Pratique de CSP : Étapes et Conseils

L'implémentation de CSP est un processus itératif. Il est crucial de tester et d'ajuster votre politique en fonction de votre site web.

Étape 1 : Mode Rapport (Report-Only)

Avant d'activer complètement CSP, il est fortement recommandé de commencer en mode rapport (Content-Security-Policy-Report-Only). Ce mode permet de collecter les violations sans bloquer les ressources. Les violations sont signalées à une URL spécifiée via la directive report-uri. Cela vous permet d'identifier les sources non autorisées et d'ajuster votre politique sans casser le site web.

Exemple :

Content-Security-Policy-Report-Only: default-src 'self'; script-src 'self' https://example.com; report-uri /csp-report-endpoint

Vous devrez configurer un endpoint (/csp-report-endpoint dans l'exemple) pour recevoir les rapports. De nombreux outils et bibliothèques existent pour faciliter la gestion de ces rapports.

Étape 2 : Identification et Correction des Violations

Analysez les rapports générés en mode rapport pour identifier les sources bloquées. Généralement, vous trouverez des scripts, des feuilles de style, des images ou d'autres ressources provenant de domaines tiers ou de sources non prévues. Pour chaque violation, déterminez si la source est légitime et nécessaire.

Si la source est légitime, ajoutez-la à la directive appropriée dans votre politique CSP. Si la source n'est pas nécessaire, supprimez la dépendance de votre site web.

Étape 3 : Application de la Politique CSP

Une fois que vous avez analysé et corrigé toutes les violations, vous pouvez basculer en mode application (Content-Security-Policy) en remplaçant l'en-tête Content-Security-Policy-Report-Only par Content-Security-Policy. Votre site web commencera alors à bloquer les ressources qui ne respectent pas votre politique.

Exemple :

Content-Security-Policy: default-src 'self'; script-src 'self' https://example.com; style-src 'self' https://fonts.googleapis.com; img-src 'self' data:;

Étape 4 : Tests et Maintenance Continue

Après avoir activé CSP, testez minutieusement votre site web pour vous assurer que tout fonctionne comme prévu. Surveillez régulièrement les rapports de violations pour détecter de nouvelles sources non autorisées. La sécurité est un processus continu, et votre politique CSP devra être ajustée au fur et à mesure que votre site web évolue.

Conseils Avancés pour l'Optimisation de CSP

Utilisation de 'nonce' et 'hash' pour les scripts

Pour les scripts inline (scripts directement intégrés dans le code HTML), il est fortement recommandé d'utiliser des nonces (nombres aléatoires générés à chaque requête) ou des hachages (hash) pour autoriser l'exécution de ces scripts. Cela offre une protection supplémentaire contre les attaques XSS.

Nonce : Ajoutez un attribut nonce avec une valeur unique à chaque balise <script>. Dans votre politique CSP, utilisez script-src 'self' 'nonce-<valeur_du_nonce>'.

Hash : Calculez le hachage SHA-256 du contenu du script. Dans votre politique CSP, utilisez script-src 'self' 'sha256-<hachage>'.

Restrictions sur les fournisseurs de contenu

Privilégiez l'utilisation de fournisseurs de contenu (CDN, etc.) fiables et minimisez le nombre de fournisseurs tiers que vous autorisez. Plus il y a de fournisseurs, plus la surface d'attaque est grande.

Mise en place d'un mécanisme de rapport des violations

Assurez-vous de configurer un endpoint pour recevoir les rapports de violations CSP. Analysez régulièrement ces rapports pour identifier et corriger les problèmes de sécurité. Utilisez des outils comme CSP Evaluator ou des services d'analyse de CSP pour vous aider.

Conclusion : Renforcer la sécurité de votre site web avec CSP

La Content Security Policy est un outil puissant pour renforcer la sécurité de votre site web et se protéger contre les attaques de type XSS et autres menaces. En suivant les étapes décrites dans ce guide et en adoptant des pratiques de sécurité robustes, vous pouvez significativement améliorer la résilience de votre application web. L'implémentation de CSP, bien que pouvant nécessiter un certain investissement initial, est un investissement essentiel pour la protection de vos utilisateurs et de vos données.

Scan your site now

Check security, SEO & GDPR in 30 seconds

Run free scan

← Back to blog