CSP (Content Security Policy)

Content Security Policy (CSP) はセキュリティ対策に追加するレイヤーであり、クロスサイトスクリプティング (XSS) やデータインジェクション攻撃を含む、よく知られた種類の攻撃を検出して軽減するためのものです。これらの攻撃手法は様々な目的に用いられ、データの窃取からサイト改変、マルウェアの拡散にまで及びます。

Content Security Policy は Firefox 4 で初めて導入されましたが、その実装は X-Content-Security-Policy ヘッダを使用しており、正式な CSP の仕様が存在する以前のものでした。 W3C が新しく策定した CSP 1.0 は Firefox 23 で実装され、接頭辞のない Content-Security-Policy ヘッダと、CSP 1.0 の仕様で定められたディレクティブが用いられます。

Content Security Policy 関連トピック

Content Security Policy の紹介
CSP の概要と、CSP を用いて Web サイトをさらに安全にする方法を紹介します。
CSP ポリシーディレクティブ
CSP で用いられるポリシーのディレクティブを、リファレンス形式で紹介します。
Content Security Policy の利用方法
CSP の動作はポリシーによって制御することができ、セキュリティの強弱は Web サイトの必要に応じてリソースごとに設定することが可能です。この記事では CSP の設定方法と、その CSP を Web サイトに適用する方法を説明します。
CSP 違反レポートの利用方法
Web サイトとユーザへの攻撃をモニタリングするために Content Security Policy 違反レポートを利用する方法を説明します。
デフォルトの CSP による制限廃止 Gecko 15.0
Firefox の CSP におけるデフォルトの制限について詳しく説明します。

関連情報

 

ドキュメントのタグと貢献者

タグ: 
 このページの貢献者: hashedhyphen, hamasaki, takashi, ethertank, Marsf
 最終更新者: hashedhyphen,