CSP

CSPは、Webページが読み込めるスクリプト・スタイル・画像・フォント・フレームなどのリソース取得元を、サーバーがレスポンスヘッダーで制御する仕組みです。Content-Security-Policyヘッダーにdefault-src、script-src、style-src、img-srcなどのディレクティブとホワイトリストを記述し、それ以外のソースからの読み込みをブラウザがブロックします。XSS攻撃やクリックジャッキング、データインジェクションなどのリスクを大幅に削減できる強力な防御層となります。違反検知時にレポートを送るreport-uriやreport-toも利用でき、まずはレポートのみのContent-Security-Policy-Report-Onlyで段階導入する運用が推奨されます。インラインスクリプトを禁止するunsafe-inlineの除去や、nonce/hashベースの安全な実行が望ましい設計です。