CSP（コンテンツセキュリティポリシー）とは何ですか？

Webページで読み込めるリソースの出所を制限するHTTPヘッダ。XSSやデータインジェクション攻撃を防ぐための重要なセキュリティ機構。

CSP（コンテンツセキュリティポリシー）のポイントは？

HTTPレスポンスヘッダでスクリプト、スタイル、画像などの読み込み元を制限する。XSS（クロスサイトスクリプティング）攻撃の被害を大幅に軽減できる。default-src、script-src、style-src、img-srcなどのディレクティブで細かく制御する。report-uriを設定すると、ポリシー違反があったときにレポートを受け取れる

【しーえすぴー】

CSP（コンテンツセキュリティポリシー）とは？

💡 「どこからのリソースを許可するか」をブラウザに指示する防御壁

📌 このページのポイント

HTTPレスポンスヘッダでスクリプト、スタイル、画像などの読み込み元を制限する
XSS攻撃の被害を大幅に軽減できる
default-src、script-src、style-src、img-srcなどのディレクティブで細かく制御する
report-uriを設定すると、ポリシー違反があったときにレポートを受け取れる

CSPのイメージ

ひよこ

CSPって何をしてくれるの？

ペンギン先生

たとえば「このページのスクリプトはhttps://example.comからのものだけ実行していい」と指定できるんだ。攻撃者がXSSで悪意のあるスクリプトを注入しても、許可されたソース以外のスクリプトはブラウザが実行を拒否してくれるよ。

ひよこ

具体的にはどう書くの？

ペンギン先生

HTTPヘッダに「Content-Security-Policy: script-src 'self' https://cdn.example.com」のように書くよ。これは「スクリプトは自分のサイトとcdn.example.comからのものだけ許可」という意味。'self'は自分自身のオリジンを指すんだ。

ひよこ

inline scriptは使えなくなるの？

ペンギン先生

デフォルトではインラインスクリプト（HTMLに直接書くscriptタグ）は禁止されるよ。これはXSS対策としては正しいんだけど、既存のサイトに導入するとき困ることがあるんだ。nonce（使い捨ての識別子）やhash（スクリプトのハッシュ値）を使えば、特定のインラインスクリプトだけ許可できるよ。

ひよこ

いきなり導入して壊れないか心配…

ペンギン先生

いい心配だね。Content-Security-Policy-Report-Onlyヘッダを使うと、ポリシー違反をレポートするだけでブロックはしないモードで試せるよ。まずこれで問題箇所を洗い出して、修正してから本番のCSPに切り替えるのが安全な導入方法だよ。

まとめ：ざっくりこれだけ覚えればOK！

「CSP」って出てきたら「Webページで読み込めるリソースのソースを制限するセキュリティヘッダだな」と思えればだいたいOK！

📖 おまけ：英語の意味

「Content Security Policy」＝コンテンツのセキュリティ方針

💬 「このページではこのドメインからのリソースだけ信頼します」とブラウザに伝えるよ

← 用語集にもどる

CSP（コンテンツセキュリティポリシー） とは？

CSP（コンテンツセキュリティポリシー）とは？