CSPContent Security Policy

CSP は、HTTPレスポンスヘッダー「Content-Security-Policy」または meta タグで、ブラウザが許可するリソース取得元を細かく制御するW3C仕様です。ディレクティブとして default-src / script-src / style-src / img-src / connect-src / frame-ancestors / form-action などがあり、'self' / 'none' / nonce-xxx / 'strict-dynamic' / hash-値 などの指定が可能です。'unsafe-inline' と 'unsafe-eval' はXSSを許容するため避けるのが原則で、代わりにnonce方式 (リクエストごとにランダムnonceを生成) や hash方式が推奨されます。違反検知のためreport-to / report-uri ディレクティブで違反レポートを集約できます。CSP3 では 'strict-dynamic' により信頼スクリプトが動的に他スクリプトを読み込めるようになっています。