あなたのウェブサイトのコンテンツセキュリティポリシーを始める方法

コンテンツセキュリティポリシー（csp）：重要なWebセキュリティツール

コンテンツセキュリティポリシー（CSP）は、開発者が特定のページのロードを許可するリソースを制御できるようにする重要なWebセキュリティメカニズムです。 このホワイトリストアプローチは、潜在的に悪意のあるコンテンツへのアクセスを制限することにより、クロスサイトスクリプティング（XSS）攻撃やデータ侵害など、さまざまなセキュリティの脅威を防ぎます。

CSPの実装：

CSP実装では、

httpヘッダーを追加します。通常、サーバーサイド（PHP、node.js、またはrubyなどの言語を使用）またはサーバー構成（例：ApacheのContent-Security-Policyなど）を使用します。あるいは、HTML.htaccess内のメタタグはポリシーを定義できますが、これは安全性が低く、一般的に好ましくはありません。

csp指令と出典：

cspは、異なるコンテンツタイプの有効なソースを指定する指令（、

、

など）で構成されています。 ソースは、default-src、style-src、script-src、'none'、ワイルドカード（'self'）、特定のドメイン、またはサブドメインなどの値を使用して定義できます。 https:data:ベストプラクティス：*

制限ポリシーから始めて、必要に応じて許可を徐々に追加します。 ブロックされたリソースを識別および解決するために、などのツールを使用して実装を徹底的にテストします。

default-src 'none'; observatory.mozilla.org

キーディレクティブ：

：不特定のコンテンツタイプのフォールバックポリシー。 これをすべてのリソースの明示的な許可を強制するように設定します。

：許可されたStyleSheetソースを定義します

• ：有効なJavaScriptソースを指定します default-src'none'：AJAX、WebSocket、およびEventSourceリクエストのソースを制御します
その他のディレクティブは、画像、フォント、メディア、フレーム、プラグインソースを管理します。
• style-src
ソース値：
• script-src
  • 'none'：すべてのソースをブロックします
  • ：同じ起源のリソースを許可します。'self'
  • ：httpsソースのみを許可します。https:
  • ：data:urlsを有効にします。data:
  ワイルドカードと特定のドメイン/サブドメイン仕様
  • ：インラインスタイルとスクリプトを許可します（慎重に使用してください！）
  • 'unsafe-inline'：
  を許可します（極端に注意してください！）。
  • 'unsafe-eval' eval()

  テストと改良：

  CSPを実装した後、Webサイトを厳密にテストして、ブロックされたリソースを特定します。ブラウザ開発者ツールとオンラインのCSPテストサービスを使用して、ポリシーを改良し、セキュリティを維持しながら機能を確保します。

  cspおよびサードパーティサービス：

  サードパーティサービス（Googleアナリティクスやフォントなど）を統合するには、慎重に検討し、潜在的に寛容なルールが必要です。 これらの例外を構成するときのセキュリティと機能性のバランス。

  この記事は、Sitegroundと協力して作成されたシリーズの一部です。 SitePointを可能にしてくれたパートナーをサポートしてくれてありがとう。

以上があなたのウェブサイトのコンテンツセキュリティポリシーを始める方法の詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。