最終更新:2022-11-25 (金) 14:31:52 (68d)
Content-Security-Policy
Top / Content-Security-Policy
https://developer.mozilla.org/ja/docs/Web/Security/CSP
例
- default-src 'self' data: gap:
https://ssl.gstatic.com 'unsafe-eval?';
- style-src 'self' 'unsafe-inline';
- media-src *;
- img-src? 'self' data: content:;
ディレクティブ
default-src フォールバック指定 style-src img-src? 画像とfavicon media-src audio要素とvideo要素 script-src?
メモ
- report-uri?
旧ヘッダ
- X-Content-Security-Policy?
値
self
- 同一起源(スキーマ、ホスト名、ポート) : サイト自身のドメイン(サブドメインを除く)
unsafe-inline
- インラインコード (HTML に直接書いたコード及び script タグのボディ) を許可