コンテンツセキュリティポリシー(CSP)について勉強してみた。
はじめに
コンテンツセキュリティポリシー(CSP)について業務で利用する機会があったので備忘録としてまとめてみました。
コンテンツセキュリティポリシー(CSP)とは
コンテンツセキュリティポリシー(CSP)とは、サーバ側がコード参照の制限をかけることのできる、主にセキュリティ用途のHTTPレスポンスヘッダーを指します。
要するに、サーバ側で「このページでは特定のドメイン配下のJavaScriptしか読み込んではいけない!画像ファイルしか読み込んではいけない!」などの指定を行うことができるということです。
指定方法
HTTPレスポンスヘッダーにContent-Security-Policy
というヘッダーがあるのでそこへ指定します。
一般的には以下のような指定がされたりします。
Content-Security-Policy: default-src 'self'; img-src *.example.com
→<img>
においてはexample.com
ドメインとそのサブドメインのファイルを許可し、それ以外については自サイトのドメイン(サブドメインを除く)のみのファイルを許可するという意味。Content-Security-Policy: default-src https://*:443
→httpsプロトコルとポート番号443のファイルのみ許可するという意味。
また、違反した場合の報告をする機能もあります。
おわりに
以上、コンテンツセキュリティポリシー(CSP)についての備忘録でした。