コンテンツセキュリティポリシー(CSP)は、Web開発者がWebサイトのセキュリティを強化するためのメカニズムです。 コンテンツセキュリティポリシーを設定することにより、Web開発者は、特定の信頼できるドメインからのみリソースをロードし、安全なHTTPS接続を適用し、ポリシー違反が発生したときに報告するようにWebブラウザーに指示できます。 これにより、多くのコンテンツインジェクションとクロスサイトスクリプティング(XSS)の脆弱性を防ぐことができます。これらの脆弱性は、データ漏洩、Webサイトの破壊行為、マルウェアの配布につながることがよくあります。
ポリシーは、次のいずれかの設定によってWebブラウザに送信されます。 Content-Security-Policy HTTPヘッダー、または <meta http-equiv="Content-Security-Policy" ... > サイトのHTMLソースのタグ。 実際のポリシーデータはテキスト文字列であり、必要な制限と構成を指定する1つ以上のディレクティブで構成されます。
コンテンツセキュリティポリシー、および本番アプリケーションでのそれらの実装の詳細については、次のリソースを参照してください。
