Content Security Policy: XSS Koruması ve CSP Direktifleri

Content Security Policy (CSP), web uygulamalarında XSS ve data injection saldırılarını önleyen browser-side security mechanism'dir. CSP direktifleri, script-src, style-src, img-src, connect-src gibi resource type'larına göre allowed source'ları tanımlar ve whitelist-based approach uygular. Nonce-based CSP, her request için unique nonce生成 eder ve inline script execution'ı nonce ile authorized kılar; script-src 'nonce-{random}' formatı kullanılır ve dynamic script loading'i güvenli şekilde sağlar. Hash-based CSP, inline script ve style'ların hash değerini whitelist'e ekler ve küçük inline snippet'ler için kullanılır; sha256, sha384 ve sha512 hash algoritmaları desteklenir. Report-Only mode, CSP policy'yi enforce etmeden violation report'ları toplar ve policy testing ve refinement için kullanılır; report-uri ve report-to direktifleri ile reporting endpoint tanımlanır. CSP bypass techniques, JSONP endpoint abuse, open redirect ve third-party script vulnerabilities ile CSP atlatılabilir; strict-dynamic ve base-uri direktifleri bypass vektörlerini mitige eder.