Content Security Policy 実装ガイド

CSP は XSS を防ぐ強力なブラウザセキュリティ機能です。重要なのは、何を許可するかを明示して、それ以外を既定で止めることです。

主なディレクティブ

• default-src で既定の許可範囲を決めます
• script-src と style-src が特に重要です
• connect-src と frame-ancestors もよく使います

導入の進め方

既存サイトには Report-Only で先に入れて、違反レポートを集めてから nonce や hash を使った強制モードへ移行してください。'unsafe-inline' はできるだけ避けるべきです。

現代的な強化

strict-dynamic、Trusted Types、upgrade-insecure-requests を組み合わせると防御力が上がります。CSP Builder で構成するとミスを減らせます。