Ta sekcja zawiera przykłady niektórych typowych scenariuszy polityki bezpieczeństwa.
Przykład 1 Sekcja
Administrator witryny chce, aby cała treść pochodziła z własnego źródła witryny (z wyłączeniem subdomen).
Polityka bezpieczeństwa treści: domyślna „własna” src
Przykład 2 Sekcja
Administrator witryny chce zezwolić na treść z zaufanej domeny i wszystkich jej subdomen (nie musi to być ta sama domena, w której jest ustawiony CSP).
Polityka bezpieczeństwa treści: domyślna „własna” src * .trusted.com
Przykład 3 Sekcja
Administrator witryny internetowej chce zezwolić użytkownikom aplikacji internetowej na dołączanie obrazów z dowolnego źródła do własnej treści, ale ograniczyć dostęp do multimediów audio lub wideo do zaufanych dostawców, a wszystkie skrypty tylko do określonego serwera, który obsługuje zaufany kod.
Content-Security-Policy: default-src 'self'; img-src *; media-src media1.com media2.com; script-src userscripts.example.com
Tutaj domyślnie treść jest dozwolona tylko z pochodzenia dokumentu, z następującymi wyjątkami:
Obrazy mogą być ładowane z dowolnego miejsca (zwróć uwagę na symbol wieloznaczny „*”).
Media są dozwolone tylko z mediów1.com i media2.com (a nie z subdomen tych witryn).
Skrypt wykonywalny jest dozwolony tylko z userscripts.example.com.
Przykład 4 Sekcja
Administrator witryny internetowej dla bankowości internetowej chce mieć pewność, że cała jej zawartość jest ładowana przy użyciu protokołu SSL, aby uniemożliwić napastnikom podsłuchiwanie żądań.
Polityka bezpieczeństwa treści: default-src https://onlinebanking.jumbobank.com
Serwer zezwala na dostęp tylko do dokumentów ładowanych konkretnie przez HTTPS za pośrednictwem jednego źródła onlinebanking.jumbobank.com.
Przykład 5 Sekcja
Administrator witryny internetowej poczty elektronicznej chce zezwolić na HTML w wiadomościach e-mail, a także obrazy ładowane z dowolnego miejsca, ale nie z JavaScript ani z innych potencjalnie niebezpiecznych treści.
Polityka bezpieczeństwa treści: default-src 'self' * .mailsite.com; img-src *
Zauważ, że ten przykład nie określa a script-src; w przykładzie CSP ta strona używa ustawienia określonego przez default-srcdyrektywę, co oznacza, że skrypty mogą być ładowane tylko z serwera źródłowego.