最終更新:2024-01-05 (金) 05:50:43 (74d)
Content-Security-Policy
Top / Content-Security-Policy
https://developer.mozilla.org/ja/docs/Web/Security/CSP
動作
- CSP 未対応のブラウザーは単に CSP を無視し、ウェブコンテンツにはこれまで通り標準の同一オリジンポリシーを適用
例
- default-src 'self' data: gap: https://ssl.gstatic.com 'unsafe-eval?';
- style-src 'self' 'unsafe-inline';
- media-src *;
- img-src? 'self' data: content:;
ディレクティブ
default-src フォールバック指定 style-src img-src? 画像とfavicon media-src audio要素とvideo要素 script-src?
メモ
- report-uri?
旧ヘッダ
- X-Content-Security-Policy?
値
self
- 同一起源(スキーマ、ホスト名、ポート) : サイト自身のドメイン(サブドメインを除く)
unsafe-inline
- インラインコード (HTML に直接書いたコード及び script タグのボディ) を許可