• 本文
• リロード
• 差分
• バックアップ
• 名前変更
• リファラ
• 新規ページ
• 編集

HTTPヘッダ

Content-Security-Policy

Top / Content-Security-Policy

https://developer.mozilla.org/ja/docs/Web/Security/CSP

動作

• CSP 未対応のブラウザーは単に CSP を無視し、ウェブコンテンツにはこれまで通り標準の同一オリジンポリシーを適用

例

• default-src 'self' data: gap: https://ssl.gstatic.com 'unsafe-eval?';
• style-src 'self' 'unsafe-inline';
• media-src *;
• img-src? 'self' data: content:;

ディレクティブ

• default-src	フォールバック指定
  style-src
  img-src?	画像とfavicon
  media-src	audio要素とvideo要素
  script-src?

メモ

• report-uri?

旧ヘッダ

• X-Content-Security-Policy?

値

self

• 同一起源(スキーマ、ホスト名、ポート) : サイト自身のドメイン（サブドメインを除く）

unsafe-inline

• インラインコード (HTML に直接書いたコード及び script タグのボディ) を許可

メモ

• data:
• gap:?