Content-Security-Policy(CSP) 概要
3147 ワード
- Content-Security-Policy(CSP) の概要をまとめる。
Content-Security-Policy(CSP) とは?
- サーバーが、ブラウザに対して自身のセキュリティポリシーを表明するための仕組みを指す。
- スクリプトや画像の実行可能範囲を指定する。
導入が必要な理由
-
クロスサイトスクリプティング(XSS)対策
- XSSを目的とした外部のスクリプトコードが埋め込まれた際の影響を軽減する。
- XSSを目的とした外部のスクリプトコードが埋め込まれた際の影響を軽減する。
構文
Content-Security-Policy: <policy-directive>; <policy-directive>
-
<policy-directive>=<directive> <value>内部の句読点なし-
directive種別 : 許可するリソースの種類(参考) -
value:'self'(同一ドメイン、同一ポート※サブドメイン除く)や特定のドメインを指定
-
例1:自ドメインリソースのみを読み込み許可する場合
Content-Security-Policy: default-src 'self'
- 例2 : 自ドメインと指定ドメインのリソースのみを読み込み許可する場合
Content-Security-Policy: default-src 'self' *.example.com
設定の流れ
Web アプリが利用する各リソースについて、許可するオリジンのリストを定義する。
サーバーから1.で定義した制御設定を
Content-Security-PolicyHTTP ヘッダーに設定してを返却させる。
※metaタグに指定することも可能。
Apacheでの設定方法
- 設定ファイル(
.confファイルなど)に以下のように、記載を追加する。
Header set Content-Security-Policy "default-src 'self'; script-src 'self' *.example.com"
参考情報
Author And Source
この問題について(Content-Security-Policy(CSP) 概要), 我々は、より多くの情報をここで見つけました https://qiita.com/KWS_0901/items/e529d9ee90cba959043b著者帰属:元の著者の情報は、元のURLに含まれています。著作権は原作者に属する。
Content is automatically searched and collected through network algorithms . If there is a violation . Please contact us . We will adjust (correct author information ,or delete content ) as soon as possible .