Content Security Policy (CSP) はセキュリティ対策に追加するレイヤーであり、クロスサイトスクリプティング (XSS) やデータインジェクション攻撃を含む、よく知られた種類の攻撃を検出して軽減するためのものです。これらの攻撃手法は様々な目的に用いられ、データの窃取からサイト改変、マルウェアの拡散にまで及びます。
Content Security Policy は Firefox 4 で初めて導入されましたが、その実装は X-Content-Security-Policy
ヘッダを使用しており、正式な CSP の仕様が存在する以前のものでした。 W3C が新しく策定した CSP 1.0 は Firefox 23 で実装され、接頭辞のない Content-Security-Policy
ヘッダと、CSP 1.0 の仕様で定められたディレクティブが用いられます。
Content Security Policy 関連トピック
- Content Security Policy の紹介
- CSP の概要と、CSP を用いて Web サイトをさらに安全にする方法を紹介します。
- CSP ポリシーディレクティブ
- CSP で用いられるポリシーのディレクティブを、リファレンス形式で紹介します。
- Content Security Policy の利用方法
- CSP の動作はポリシーによって制御することができ、セキュリティの強弱は Web サイトの必要に応じてリソースごとに設定することが可能です。この記事では CSP の設定方法と、その CSP を Web サイトに適用する方法を説明します。
- CSP 違反レポートの利用方法
- Web サイトとユーザへの攻撃をモニタリングするために Content Security Policy 違反レポートを利用する方法を説明します。
- デフォルトの CSP による制限廃止 Gecko 15.0
- Firefox の CSP におけるデフォルトの制限について詳しく説明します。
関連情報
- Web セキュリティ
- HTTP access control (CORS)
- CSP 1.0 仕様書 (Working Group Note)
- CSP Level 2 仕様書 (Candidate Recommendation)
- CSP Level 3 仕様書 (Editor's Draft)
- アプリの CSP