Content Security Policy - CSP



Una Content Security Policy (CSP) o política de seguridad del contenido permite mejorar la seguridad de los sitios web al permitir detectar y reducir ciertos tipos de ataques, incluidos los ataques XSS (Cross Site Scripting) y las inyecciones de contenido.
Para autorizar el funcionamiento de Eulerian en un contexto con CSP, necesitas:
    Añadir un token “nonce” a las llamadas de scripts en tu documento HTML. Este token es generado aleatoriamente por tu servidor en cada llamada e inyectado en el contenido devuelto. En nuestro ejemplo, el token se inserta en el lugar de “{TOKEN_NONCE}”.
    Añadir en tu meta o en la cabecera HTTP “Content-Security-Policy” el dominio de recopilación y el “nonce” en script-src.


Plantilla CSP

Meta o Cabecera HTTP de la CSP

script-src <mon.domainedetracking.com> 'nonce-{TOKEN_NONCE}'

Llamadas a scripts

<script nonce="{TOKEN_NONCE}">

    (function(e,a){var i=e.length,y=5381,k='script',s=window,v=document,o=v.createElement(k);for(;i;){i-=1;y=(y*33)^e.charCodeAt(i)}y='_EA_'+(y>>>=0);(function(e,a,s,y){s[a]=s[a]||function(){(s[y]=s[y]||[]).push(arguments);s[y].eah=e;};}(e,a,s,y));i=new Date/1E7|0;o.ea=y;y=i%26;o.async=1;o.src='//'+e+'/'+String.fromCharCode(97+y,122-y,65+y)+(i%1E3)+'.js?2';s=v.getElementsByTagName(k)[0];s.parentNode.insertBefore(o,s);})

    ('mon.domainedetracking.com','EA_push');

</script>



<script nonce="{TOKEN_NONCE}">

 EA_push();

</script>

CSP con token de ejemplo: 3zs4IFgbAL

Meta o Cabecera HTTP de la CSP

script-src <mon.domainedetracking.com> 'nonce-3zs4IFgbAL'

Llamadas a scripts

<script nonce="3zs4IFgbAL">

    (function(e,a){var i=e.length,y=5381,k='script',s=window,v=document,o=v.createElement(k);for(;i;){i-=1;y=(y*33)^e.charCodeAt(i)}y='_EA_'+(y>>>=0);(function(e,a,s,y){s[a]=s[a]||function(){(s[y]=s[y]||[]).push(arguments);s[y].eah=e;};}(e,a,s,y));i=new Date/1E7|0;o.ea=y;y=i%26;o.async=1;o.src='//'+e+'/'+String.fromCharCode(97+y,122-y,65+y)+(i%1E3)+'.js?2';s=v.getElementsByTagName(k)[0];s.parentNode.insertBefore(o,s);})

    ('mon.domainedetracking.com','EA_push');

</script>



<script nonce="3zs4IFgbAL">

 EA_push();

</script>

Ejemplos de CSP funcionales

CSP: script-src 'self' foo.bar.com;
  • Válido:
<script src="//foo.bar.com/file.js" />
  • Bloquea:
<script>console.log('Hello');</script>
CSP: script-src 'self' <foo.bar.com> 'nonce=xxxx';
  • Válido:
<script src="//foo.bar.com/file.js" />

<script nonce="xxxx">

 console.log('Hello');

 </script>
CSP: script-src 'self' <foo.bar.com> 'unsafe-inline';
  • Válido:
<script src="//foo.bar.com/file.js" />

<script>

 console.log('Hello');

 </script>
Si deseas utilizar el LiveTagging (lo cual se recomienda encarecidamente, especialmente para el soporte técnico), también deberás añadir la autorización en el style-src de tu CSP. Esto se debe a que los archivos CSS que gestionan la visualización de la ventana de LiveTagging deben estar autorizados para su carga.
El método 'nonce' nos permite retroceder el token 'nonce' en Tag Management. Para mayor compatibilidad, se recomienda añadir también los dominios de los tags de terceros en tu CSP. En el caso de un tag “adhoc”, no se garantiza que el “nonce” se implemente correctamente.