※本ページにはプロモーション(広告)が含まれています
セキュリティ
ひとことでいうと
クロスサイトスクリプティングなどの攻撃を防ぐため、リソースの読み込み元を制限するセキュリティヘッダーです。
詳しい解説
CSPは、Webページが読み込めるスクリプト・スタイル・画像・フォント・フレームなどのリソース取得元を、サーバーがレスポンスヘッダーで制御する仕組みです。Content-Security-Policyヘッダーにdefault-src、script-src、style-src、img-srcなどのディレクティブとホワイトリストを記述し、それ以外のソースからの読み込みをブラウザがブロックします。XSS攻撃やクリックジャッキング、データインジェクションなどのリスクを大幅に削減できる強力な防御層となります。違反検知時にレポートを送るreport-uriやreport-toも利用でき、まずはレポートのみのContent-Security-Policy-Report-Onlyで段階導入する運用が推奨されます。インラインスクリプトを禁止するunsafe-inlineの除去や、nonce/hashベースの安全な実行が望ましい設計です。
具体的な場面
金融機関のサイトで「Content-Security-Policy: default-src 'self'; script-src 'self' https://www.google-analytics.com」を設定すると、自ドメインと許可された分析サービス以外のスクリプト実行を遮断できます。
別の呼び方
Content Security Policy
コンテンツセキュリティポリシー
シーエスピー
CSPヘッダー
コンテンツセキュリティポリシー
シーエスピー
CSPヘッダー
minto.tech スマホ(iPhone/Android)・パソコン(Windows/Mac)・Office・Wi-Fi・AIツールの「できない」「困った」を解決する実用ガイド。トラブル対処法とノウハウが満載のお助けサイトです。