メインコンテンツへスキップ
防御・対策

Content Security Policy

Content Security Policy

読み込めるスクリプト、画像、接続先などをブラウザに制限させ、XSSなどの被害を抑えるHTTPヘッダー。

CSPはXSS対策の最後の防御線として有効ですが、根本的な入力検証や出力エスケープの代替ではありません。導入時は既存の外部スクリプト、インラインスクリプト、レポート収集を確認します。

  • 外部リソースの読み込み先を制限する
  • XSSの被害拡大を抑える
  • report-onlyで影響を観察できる

よくある質問

Content Security Policyとは?

読み込めるスクリプト、画像、接続先などをブラウザに制限させ、XSSなどの被害を抑えるHTTPヘッダー。

Content Security Policyについて詳しく知るには?

CSPはXSS対策の最後の防御線として有効ですが、根本的な入力検証や出力エスケープの代替ではありません。導入時は既存の外部スクリプト、インラインスクリプト、レポート収集を確認します。

Content Security Policyのポイントは?

外部リソースの読み込み先を制限する XSSの被害拡大を抑える report-onlyで影響を観察できる

← 用語集一覧に戻る
ESC