Content Security Policy (CSP)
CSP (Content Security Policy) は HTTP ヘッダーや <meta> 要素で、ページが読み込めるリソースの出所を制限し、XSS攻撃などを防止します。
概要
CSP (Content Security Policy) は HTTP ヘッダーや <meta> 要素で、ページが読み込めるリソースの出所を制限し、XSS攻撃などを防止します。
対応ブラウザ
デスクトップ
Chrome 25+
Edge 14+
Safari 7+
Firefox 23+
モバイル
Chrome Android 25+
Safari iOS 7+
Firefox Android 23+
基本構文
HTML
<meta http-equiv="Content-Security-Policy"
content="default-src 'self'; script-src 'self' https://cdn.example.com;
style-src 'self' 'unsafe-inline'; img-src *;">実務での使いどころ
-
Content Security Policy (CSP) の活用
Content Security Policy。XSSなどの攻撃を防ぐセキュリティポリシー。
注意点
- 古いブラウザでは対応していない場合がある。
アクセシビリティ
- スクリーンリーダーでの読み上げを確認すること。