Secure Content Security Policy
セキュアなコンテンツセキュリティポリシー
説明
コンテンツセキュリティポリシー(CSP)は、ブラウザが読み込むことのできるコンテンツのソースを効果的に制限し、クロスサイトスクリプティング(XSS)のような攻撃のリスクを軽減する場合にセキュアであると見なされます。明確に定義されたCSPには、スクリプト、スタイル、およびその他のリソースを読み込む場所を制限するディレクティブが含まれます。
セキュアなCSPの例は以下の通りです。
http request
Content-Security-Policy: default-src 'self'; script-src 'self' https://trustedscripts.example.com 'nonce-abcdef'; style-src 'self' 'sha256-xyz'; object-src 'none'; base-uri 'self'; frame-ancestors 'none';
このポリシーは、同一オリジンおよび信頼できるソースからのコンテンツのみを許可し、埋め込みオブジェクトやフレーミングを一切許可しません。
推奨事項
実装はセキュアであり、適用される推奨事項はありません。