コンテンツセキュリティポリシー (CSP)
コンテンツセキュリティポリシー (CSP) とは何ですか?
コンテンツセキュリティポリシー (CSP)スクリプト・スタイル・フレームなどの読み込み元をブラウザに指示する HTTP レスポンスヘッダで、XSS やデータ注入攻撃の影響を抑える。
CSP はレスポンスヘッダ「Content-Security-Policy」(または meta 要素)で配信され、script-src・style-src・img-src・connect-src・frame-ancestors などリソース種別ごとに細かな許可リストを適用します。現代の厳格な CSP はホスト許可リストではなく nonce やハッシュに基づくため、正しい nonce を持たないインジェクションスクリプトはそもそも実行されません。インラインのイベントハンドラを禁止し、既定で eval を無効化し、report-to で違反を報告できます。XSS・クリックジャッキング(frame-ancestors)・混在コンテンツの影響を大幅に軽減する多層防御策ですが、入力検証や出力エンコードの代替にはなりません。
● 例
- 01
ヘッダ:「Content-Security-Policy: script-src 'self' 'nonce-r4nd0m'; object-src 'none'; base-uri 'none'; frame-ancestors 'none'」。
- 02
「Content-Security-Policy-Report-Only」で厳格化前のポリシーを試験的に検証する。
● よくある質問
コンテンツセキュリティポリシー (CSP) とは何ですか?
スクリプト・スタイル・フレームなどの読み込み元をブラウザに指示する HTTP レスポンスヘッダで、XSS やデータ注入攻撃の影響を抑える。 サイバーセキュリティの アプリケーションセキュリティ カテゴリに属します。
コンテンツセキュリティポリシー (CSP) とはどういう意味ですか?
スクリプト・スタイル・フレームなどの読み込み元をブラウザに指示する HTTP レスポンスヘッダで、XSS やデータ注入攻撃の影響を抑える。
コンテンツセキュリティポリシー (CSP) からどのように防御しますか?
コンテンツセキュリティポリシー (CSP) に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。
コンテンツセキュリティポリシー (CSP) の別名は何ですか?
一般的な別名: CSP。