Featured image of post CSP strict-dynamic: La mejor defensa contra XSSFeatured image of post CSP strict-dynamic: La mejor defensa contra XSS

CSP strict-dynamic: La mejor defensa contra XSS

Understand the benefits of the 'strict-dynamic' directive in Content Security Policy (CSP) Level 3 to trust dynamically injected script tags.

La directiva strict-dynamic de CSP cambia la forma de aplicar políticas de seguridad. En lugar de listar dominios permitidos, confía en scripts que fueron cargados por scripts legítimos.

Problema con listas blancas

Las listas de URLs permitidas son difíciles de mantener y pueden incluir CDNs comprometidas o bibliotecas con vulnerabilidades.

Cómo funciona strict-dynamic

Si un script tiene un nonce o hash válido, puede cargar otros scripts del mismo origen. La confianza se propaga del script inicial a sus dependencias.

Implementación

Content-Security-Policy: script-src 'strict-dynamic' 'nonce-RANDOM'

Cada solicitud genera un nonce único en el servidor. Los inline scripts llevan nonce="...".

Compatibilidad

strict-dynamic ignora listas blancas en navegadores modernos. Como fallback, provee una CSP tradicional para navegadores antiguos sin soporte.

Última actualización 2026/07/12 04:12 JST