CSP : la trampa de la seguridad !

Política de Seguridad del Contenido (CSP) es importante por una aplicación web:

es una capa de seguridad adicional que ayuda a prevenir y mitigar algunos tipos de ataque, incluyendo Cross Site Scripting ( XSS (en-US) ) y ataques de inyección de datos

Según Mozilla - MDN

Ahora bien, todo el mundo puede equivocarse, pero al administrador puede resultarle difícil evaluar :

Según Can I Use

OWASP no recomienda el uso de X-XSS-Protection "1;mode=block". Este ha sido marcada como obsoleta :

X-XSS-Protection: 0

Según OWASP - X-XSS-Protection

OWASP recomienda usar Content-Security-Policy :

Content-Security-Policy: default-src 'self'; img-src *; media-src cdn.site.com; script-src cdn.site.com

Sea extremadamente cuidadoso ! Es mejor no hacer nada que hacer algo mal. Una configuración incorrecta puede generaría un agujero de seguridad o un problema de visualización.

Mis configuraciones por 111 :

<IfModule mod_headers.c>
  Header set X-XSS-Protection "1;mode=block"
  Header set X-Frame-Options "SAMEORIGIN"
  Header set X-Content-Type-Options "nosniff"
  Header set Strict-Transport-Security "max-age=31536000; includeSubDomains" env=HTTPS
  Header set SameSite "Lax"
  Header Set Referrer-Policy "strict-origin-when-cross-origin"
</IfModule>