CSPとは
CSP(Content Security Policy)は、Webページがどの出所からリソース(スクリプト、スタイルシート、画像など)を読み込めるかを制限するセキュリティポリシーです。HTTPレスポンスヘッダーで指定します。
主なディレクティブ
- default-src: 全リソースのデフォルト出所
- script-src: JavaScriptの読み込み元
- style-src: CSSの読み込み元
- img-src: 画像の読み込み元
- connect-src: fetch/XHRの接続先
効果
CSPを適切に設定することで、クロスサイトスクリプティング(XSS)攻撃によるインラインスクリプトの実行や、意図しない外部リソースの読み込みを防止できます。