CSP staat voor Content Security Policy. CSP is een veiligheidsmaatregel die voorkomt dat een website schadelijke code laadt van ongewenste bronnen. Het werkt als een strikte lijst die bepaalt wat wel en niet mag, waardoor gebruikers beter beschermd zijn tegen cyberaanvallen.
Normaal gesproken kan een website allerlei soorten inhoud laden, zoals scripts, afbeeldingen en stijlen, van verschillende bronnen op het internet. Maar soms proberen hackers kwaadaardige code toe te voegen aan een website, bijvoorbeeld door een onveilig script in een formulier te plaatsen.
Met een Content Security Policy kan een website-eigenaar precies aangeven welke bronnen wel of niet mogen worden geladen. Dit betekent dat alleen goedgekeurde scripts, afbeeldingen en stijlen worden toegelaten, waardoor het moeilijker wordt voor kwaadwillenden om schadelijke code in te voegen.
CSP wordt ingesteld via een speciale HTTP-header of een HTML-meta-tag. Hierin staat een lijst van toegestane bronnen. Bijvoorbeeld: een website kan aangeven dat alleen scripts mogen worden geladen van de eigen domeinnaam en niet van externe sites. Zonder CSP is een website kwetsbaarder voor aanvallen zoals XSS. Kwaadaardige scripts kunnen bijvoorbeeld wachtwoorden stelen of gebruikers omleiden naar nepwebsites.