Defaults.Exposed › Glossary › Content-Security-Policy (CSP)

Content-Security-Policy (CSP)

Also known as: CSP, Content Security Policy

どのコードやコンテンツの実行を許すかをブラウザに示すルールブック。攻撃者が悪意あるスクリプトをページに注入するのを防ぐ主要な防御です。

何のことか

Content-Security-Policy（CSP）は、どのスクリプト、画像、スタイル、その他のコンテンツの 読み込みと実行を許すか を訪問者のブラウザに渡すルールの一覧で、裏を返せばそれ以外をすべてブロックするものです。ブラウザに招待客リストを渡し、リストにない者は追い返せと命じるようなものです。

ビジネスへの影響

最もよくあるウェブサイト攻撃の一つは、悪意あるコードをページに忍び込ませることです。コメント欄、フォーム、乗っ取られたプラグイン、侵害された第三者のウィジェットなどを通じて行われます。そのコードが訪問者のブラウザで動くと、ログインを盗み、セッションを乗っ取り、決済時にカード情報を抜き取り、ページを改ざんできてしまいます。

CSP はこれに対するシートベルトです。たとえ攻撃者がコードを滑り込ませても、ブラウザは承認リストにないものを実行しないので、攻撃は発火せずに不発に終わります。サイト上で決済やログインを扱う事業にとって、これは追加できる最も価値の高い保護の一つで、しかも費用はかかりません。

確認方法・対処法

当社の無料チェッカーは、サイトが Content-Security-Policy を送っているか、なければそれを指摘します。CSP は あなたの サイト固有のコンテンツを列挙するため、調整が必要です。CSP 修正ガイドが、サイトが正当に使うものを壊さずに守れるよう、慎重に組み立てる手順を案内します。設定は無料です。

Want to fix this on your own domain? See the free guide →