Herramientas para verificar CSP (Content Security Policy)

Aunque los desarrolladores y administradores web deben tener siempre en mente las políticas CSP (Content Security Policy) que controlan las secuencias de comandos dentro de una web con el fin de evitar que piratas informáticos puedan inyectar código HTML en aplicaciones y webs vulnerables, un reciente estudio de Google ha podido comprobar cómo el 95% de los sitios web que utilizan estas reglas lo hacen de manera incorrecta, exponiendo de igual forma la seguridad de las páginas y aplicaciones web frente a los ataques XSS.

Para intentar proteger mejor a los usuarios y ayudar a los administradores a proteger sus plataformas, Google ha lanzado dos nuevas extensiones para su navegador web, Google Chrome, con el fin de ayudar a los usuarios a protegerse de los ataques XSS y a los administradores a detectarlos en sus plataformas. Estas dos extensiones son CSP Evaluator y CSP Mitigator.
La primera de ellas, CSP Evaluator, es una herramienta disponible tanto como extensión para Google Chrome como en una web independiente que nos ayuda a comprobar la configuración de las políticas CSP de direcciones URL con el fin de ayudarnos a solucionar posibles problemas que podamos tener y proteger así las webs de los ataques XSS.

La segunda de las extensiones, CSP Mitigator, es una herramienta que nos va a permitir identificar las secuencias de comandos con atributos nonce incorrectos, así como controladores de línea de JavaScript, URIs y otros elementos que puedan dar lugar a ataques XSS y supongan un riesgo para la seguridad y privacidad de los usuarios. Además, gracias a esta herramienta, los administradores van a poder comprobar el efecto de las diferentes reglas en tiempo real, pudiendo comprobar si alguna hace que la web deje de funcionar adecuadamente.

Fuente: Redes Zone