ウェブ開発
- 投稿するには今すぐ登録するかサインインしてください
- 最近のアクティビティ
- よくある質問
- ガイドライン
質問
-
クリエイター
トピック
-
ウェブサイトでコンテンツセキュリティポリシーレベル3を効率的に活用する方法
naj7riyami 投稿· 約5年2ヶ月前
Googleコンソールでエラーを出さずに、ウェブサイトでコンテンツセキュリティポリシーレベル3を効率的に活用する方法
-
クリエイター
トピック
すべての答え
-
著者
返信
-
-
2020年8月12日午前6時20分#2418448
ウェブサイトでコンテンツセキュリティポリシーレベル3を効率的に活用する方法
deborasumopayroll ·約5年2ヶ月前
ウェブサイトでコンテンツセキュリティポリシーレベル3を効率的に活用する方法への返信
このポリシーを定義すると、ブラウザは他のソースからスクリプトを読み込む代わりに、単にエラーをスローするだけです。巧妙な攻撃者がサイトにコードを挿入できたとしても、期待していた成功ではなく、エラーメッセージに直面することになります。
ポリシーは幅広いリソースに適用されます。
スクリプトリソースは最も明白なセキュリティリスクですが、CSPは豊富なポリシーディレクティブセットを提供しており、ページで読み込みを許可するリソースを非常に細かく制御できます。script-srcについては既に説明しましたので、概念は明確でしょう。残りのリソースディレクティブを簡単に見ていきましょう。以下のリストは、レベル2時点でのディレクティブの状態を表しています。レベル3の仕様は公開されていますが、主要ブラウザではほとんど実装されていません。
base-uri は、ページの
要素に表示できるURLを制限します。child
-src は、ワーカーと埋め込みフレームコンテンツのURLをリストします。例えば、child-src https://youtube.com はYouTubeからの動画の埋め込みは有効ですが、他のオリジンからの動画の埋め込みは無効です。connect
-src は、接続できるオリジン(XHR、WebSocket、EventSource経由)を制限します。font
-src は、ウェブフォントを提供できるオリジンを指定します。Googleのウェブフォントは、font-src https://themes.googleusercontent.com で有効にできます。form
-action は、送信元となる有効なエンドポイントをリストします。
-
-
著者
返信
0件の返信スレッドを表示
