De Content-Security-Policy (CSP) is een beveiligingsmaatregel die helpt bij het beschermen van websites tegen bepaalde typen aanvallen, zoals Cross-Site Scripting (XSS) en data-injectieaanvallen. Het wordt gedaan door webontwikkelaars die een beleid instellen over welke content is toegestaan om te laden en uit te voeren op de pagina. Dit beleid wordt dan doorgegeven aan de browser in de vorm van een HTTP-header of een meta-tag in de HTML van de pagina.
Wanneer een browser een pagina laadt met een CSP, zal het de regels in het beleid toepassen en alleen content toelaten die overeenkomt met de specificaties van het beleid. Dit kan inhouden dat bepaalde scripts, stijlen, afbeeldingen, enzovoort, alleen van specifieke bronnen geladen mogen worden, of dat inline scripts en stijlen (die direct in de HTML-code zijn opgenomen) geblokkeerd worden tenzij expliciet toegestaan.
Het gebruik van CSP kan de veiligheid van een website aanzienlijk verhogen door het risico te verminderen dat aanvallers kwaadaardige content kunnen injecteren die door bezoekers van de website uitgevoerd zou kunnen worden. Het vereist echter zorgvuldige planning en implementatie, omdat een te restrictief beleid legitieme functionaliteiten kan blokkeren, terwijl een te los beleid niet voldoende bescherming biedt.