コンテンツ セキュリティ ポリシー (CSP) とは何ですか?またその仕組みは何ですか?

コンテンツ セキュリティ ポリシー (CSP) について

概要

コンテンツ セキュリティ ポリシー(CSP) は、Web 開発者がどのソースにリソースのロードを許可するかを指定できる強力なセキュリティ メカニズムです。彼らのウェブサイト。 CSP は、リソースの発信元を制限することで、クロスサイト スクリプティング (XSS) やデータ漏洩などのさまざまな攻撃から保護します。

CSP の仕組み

CSP とはWeb ページの HTML ヘッダーのメタタグを通じて実装されます。このメタタグのコンテンツには、リソースをロードするために許可されるソースを定義するディレクティブが含まれています。これらのディレクティブは通常、次の内容を指定します。

• ソースの送信元: リソースのロード元となるドメインまたはホスト。
• プロトコル: リソースのロードに許可されるネットワーク プロトコル (例: HTTP またはHTTPS).
• ポート: リソースの読み込みに許可されるポート番号。
• リソースtype: スクリプト、スタイルシート、画像、AJAX リクエストなどの特定のリソース タイプ。

Content-Security-Policy ヘッダーの使用

基本Content-Security-Policy HTTP ヘッダーの構文は次のとおりです。

<meta http-equiv="Content-Security-Policy" content="directives">

特定の質問への回答

1.複数のソースの許可:

複数のソースを許可するには、コンテンツ プロパティでソースをスペースで区切ります:

content="default-src 'self' https://example.com/js/"

2.異なるディレクティブの使用:

各ディレクティブは特定のリソース タイプを指定します。一般的なディレクティブは次のとおりです。

• default-src: すべてのリソースのデフォルト ポリシー
• script-src: JavaScript ファイルの有効なソース
• style-src: JavaScript ファイルの有効なソースCSS ファイル
• img-src: 有効なソース画像

3.複数のディレクティブの使用:

セミコロン (;) で区切って複数のディレクティブを使用できます:

content="default-src 'self'; style-src 'self'"

4.ポートの処理:

ポートは明示的に許可する必要があります:

content="default-src 'self' https://example.com:123/"

5.異なるプロトコルの処理:

HTTP/HTTPS 以外のプロトコルは明示的に許可する必要があります:

content="connect-src ws:;"

6.ファイル プロトコルの許可:

file:// プロトコルを許可するには、ファイル システム パラメータを使用する必要があります:

content="default-src filesystem"

7.インライン スタイルとスクリプトの許可:

インライン コンテンツを許可するには、unsafe-inline:

content="script-src 'unsafe-inline'; style-src 'unsafe-inline'"

8 を使用します。 eval() の許可:

eval() を許可するには、unsafe-eval:

content="script-src 'unsafe-eval'"

9 を使用します。 「self」の意味:

「self」は、CSP ポリシーが定義されているページと同じスキーム、ホスト、ポートから生成されたリソースを指します。

結論

CSP は、ロードされるリソースのソースを制限することで Web サイトを脆弱性から保護できる強力なセキュリティ対策です。 Web アプリケーションの整合性とセキュリティを確保するには、CSP ポリシーを注意深く理解して実装することが不可欠です。

以上がコンテンツ セキュリティ ポリシー (CSP) とは何ですか?またその仕組みは何ですか?の詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。