CSP
CSP (İçerik Güvenlik Politikası)
Bir web sayfasının hangi kaynakları yükleyip çalıştırabileceğini kontrol eden, cross-site scripting (XSS) ve veri enjeksiyon saldırılarına karşı koruyan HTTP güvenlik katmanı.
Teknik Detay
CSP, Content-Security-Policy HTTP başlığı veya etiketi aracılığıyla gönderilir. Direktifler kaynak türlerini kontrol eder: default-src (geri dönüş), script-src (JavaScript), style-src (CSS), img-src (görüntüler), connect-src (XHR/fetch), font-src, frame-src, media-src. Kaynak değerleri: 'self' (aynı kaynak), 'none', 'unsafe-inline' (satır içi betikler/stiller — kaçının), 'unsafe-eval', 'nonce-{rastgele}' (istek başına güvenilir satır içi betik), 'strict-dynamic' (güven yüklenen betiklere yayılır), https: (tüm HTTPS). Yalnızca rapor modu: Content-Security-Policy-Report-Only engellemeden ihlalleri kaydeder — test için kullanın. Raporlama: report-uri /csp-report veya report-to (Reporting API). CSP Seviye 3 ekler: 'strict-dynamic', 'unsafe-hashes', gezinme/form/kaynak worker'ları.
Ornek
```javascript
// CSP: web API example
const response = await fetch('/api/resource');
const data = await response.json();
console.log(data);
```