次の項目は別ページに分割しました。
CSP
コンテンツセキュリティポリシー (CSP) は、クロスサイトスクリプティング (XSS) やデータインジェクション攻撃などのような、特定の種類の攻撃を検知し、影響を軽減するために追加できるセキュリティレイヤーです。これらの攻撃はデータの窃取からサイトの改ざん、マルウェアの拡散に至るまで、様々な目的に用いられます。
—— MDN
参考:
目次
- 1 概要
- 2 導入
- 3 使い方
- 4 Can I use
- 5 混在コンテンツ (Mixed Content)
- 6 block-all-mixed-content / report-uri
- 7 JSONP エンドポイントによる CSP バイパス対策
- 8 base-uri
- 9 default-src
- 10 script-src
- 11 style-src
- 12 unsafe-inline / nonce
- 13 ダイジェスト/ハッシュ値
- 14 unsafe-hashes
- 15 unsafe-eval
- 16 データ URI スキーム
- 17 ソースリスト
- 18 W3C Working Draft
- 19 サンプル
- 20 リンク
- 21 CSP Evaluator
- 22 CSP Mitigator
- 23 Chrome 拡張
概要
参考:
Contents Security Policy (CSP) のお勉強 – Qiita
Content Security Policy | with Google
導入
参考:
Content-Security-Policy の概要メモ – Qiita
CSP (Contents Security Policy) の記述例 | ラボラジアン
Content Security Policy でユーザーを守ろう | bitbank techblog
Content Security Policy | 酒と涙とRubyとRailsと
Content Security Policy の導入 | Mozilla Developer Street
使い方
参考:
CSP (コンテンツセキュリティポリシー) について調べてみた | SST エンジニアブログ
コンテンツセキュリティポリシー | Google Developers
Can I use
参考:
Content Security Policy 1.0 | Can I Use Support Tables
Content Security Policy Level 2 | Can I Use Support Tables
混在コンテンツ (Mixed Content)
- block-all-mixed-content
- upgrade-insecure-requests
参考:
SSL なのに安全でない?!混在コンテンツとは | 4CREATOR JAPAN
Mixed Contents 対応を促進する CSP ディレクティブ | blog.jxck.io
Google Chrome と Mixed Content | だるろぐ
upgrade-insecure-requests | MDN
block-all-mixed-content / report-uri
参考:
Mixed Content のブロックされた URI をレポートさせる仕様追加 | ASnoKaze blog
JSONP エンドポイントによる CSP バイパス対策
参考:
Content Security Policy Level 3 における XSS 対策 | pixiv inside
base-uri
参考:
default-src
参考:
script-src
参考:
style-src
参考:
unsafe-inline / nonce
参考:
nonce-source について調べてみた | A Day in Serenity Reloaded
そろそろ CSP Lv.2 nonce やろう | teppeis blog
How to prevent the use of unsafe-inline in CSP | Barry van Veen
ダイジェスト/ハッシュ値
参考:
CSP Hash Examples and Guide | CSP Reference & Examples
Whitelisting inline script with csp sha-256 in firefox – Stack Overflow
Correctly using hash with content security policy (CSP) – Stack Overflow
What is a hash for href=javascript: code? – Stack Overflow
unsafe-hashes
参考:
unsafe-hashes | CSP Reference & Examples
unsafe-hashes | Chrome Platform Status
Usage of unsafe-hashes | Content Security Policy Level 3
unsafe-eval
文字列からコードを生成する安全ではないメソッドの実行を許可する。
evalFunctionsetTimeoutsetInterval
参考:
データ URI スキーム
参考:
Why would ‘data:’ be a script-src for CSP? – Stack Overflow
ソースリスト
'none':全てのリソースをブロックする'self':現在の URL の生成元と一致するリソースのみ許可する- URL 直接表記
- URI スキーム
- ホスト名
- ワイルドカードを用いたドメイン内ホストの指定 → 下位ホストが全て含まれる
- ノンス:ノンスが一致するインラインリソースを許可する
- ダイジェスト:スクリプトまたはスタイルシートのハッシュ値 (sha256 / sha384 / sha512)
参考:
ソースリスト | Content Security Policy Level 3 日本語訳
Source Lists | Content Security Policy Level 3
Matching host-source expression in Content Security Policy (CSP) | Jaroslaw Porzucek
W3C Working Draft
参考:
Content Security Policy Level 3 日本語訳 (triple-underscore.github.io)
Content Security Policy Level 2 | W3C
Content Security Policy Level 3 | W3C
サンプル
参考:
nico3333fr/CSP-useful/csp-for-third-party-services – GitHub
リンク
CSP Reference & Examples (content-security-policy.com)
nico3333fr/CSP-useful: Collection of scripts, thoughts about CSP (Content Security Policy) – GitHub
CSP Evaluator
ツール:
リポジトリ:
CSP Mitigator
入手:
CSP Mitigator | Chrome ウェブストア [公式]
参考:
Google、XSS 攻撃防止に役立つ CSP の厳格な運用を支援するツールを2種類公開 | 窓の杜
Google、XSS 攻撃対策に支援ツール公開 | ITmedia エンタープライズ
グーグル、XSS 攻撃対策を支援する2つの新ツールをリリース | ZDNet Japan
Chrome 拡張
参考: