New Content Security Policy (csp) 2025

## Definindo Políticas de Conteúdo e Combatendo XSS em Aplicações Node.js

A segurança de aplicações web é uma preocupação constante, e a proteção contra ataques Cross-Site Scripting (XSS) é fundamental. Uma abordagem eficaz para mitigar esses riscos é a combinação de políticas de conteúdo bem definidas e implementações robustas no servidor.

As Políticas de Conteúdo (CSP) são uma camada adicional de segurança que os desenvolvedores podem adicionar às suas aplicações web. Elas fornecem controle granular sobre quais recursos (scripts, estilos, imagens, etc.) o navegador está autorizado a carregar. Isso ajuda a prevenir ataques XSS, impedindo a execução de scripts maliciosos injetados.

As CSPs são definidas através de cabeçalhos HTTP (Content-Security-Policy) ou metatags . Elas especificam as origens confiáveis para cada tipo de recurso. Por exemplo, você pode definir que apenas scripts provenientes do seu próprio domínio e de um serviço CDN confiável podem ser carregados.

A implementação de CSP em um servidor Node.js é direta, geralmente feita através de middleware. Aqui estão algumas opções e exemplos:

helmet é um middleware popular do Express que ajuda a proteger aplicações Node.js, incluindo a configuração de CSPs.

Neste exemplo, o helmet é usado para configurar a política de conteúdo. A opção contentSecurityPolicy permite definir as diretivas CSP.

Você também pode definir o cabeçalho manualmente em cada resposta:

Embora seja menos prático para políticas complexas, essa abordagem oferece mais controle se você precisar adaptar a política dinamicamente para cada requisição.

Para usar nonce com helmet, você pode gerar o valor do nonce no servidor, adicioná-lo ao cabeçalho Content-Security-Policy e à tag