【CSPヘッダー】セキュリティを守るブラウザの盾
こんにちは、GMO NIKKOのryoutakoです。普段はRuby on Railsを使った開発やプロダクトの脆弱性診断などセキュリティ関連の業務をしています。 今回はHTTPヘッダーの一つであるContent Security Policy(以降CSPヘッダー)について書いていきたいと思います。 経緯 最近の業務でCSPヘッダーに関連する業務を行う機会があったのですが、正直CSPヘッダーのことはぼんやりとしか理解できていない状態でした。なので着手するにあたってCSPヘッダーの知識を復習したので、今回はその内容を共有しようと思います。 CSPヘッダーとは CSPヘッダーはウェブサーバーがブラウザに送信するHTTPヘッダーの一種で、コンテンツセキュリティポリシーを定義します。このポリシーは特定のリソースの読み込みや実行を制御し、ウェブページ上での潜在的なセキュリティリスクを軽減します。 ま
CSP: upgrade-insecure-requests - HTTP | MDN
HTTP ガイド リソースと URI ウェブ上のリソースの識別 データ URL MIME タイプ入門 よくある MIME タイプ www 付きと www なしの URL の選択 HTTP ガイド HTTP の基本 HTTP の概要 HTTP の進化 HTTP メッセージ 典型的な HTTP セッション HTTP/1.x のコネクション管理 プロトコルのアップグレードの仕組み HTTP セキュリティ Content Security Policy (CSP) HTTP Strict Transport Security (HSTS) X-Content-Type-Options X-Frame-Options X-XSS-Protection Mozilla web security guidelines Mozilla Observatory HTTP アクセス制御 (CORS) HTTP
Content-Security-Policy (CSP) - HTTP | MDN
HTTPガイドHTTP の概要HTTP の進化典型的な HTTP セッションHTTP メッセージメディア種別一般的な種別HTTP の圧縮HTTP キャッシュHTTP 認証HTTP Cookie の使用HTTP のリダイレクト条件付きリクエストRange requestsクライアントヒント圧縮辞書転送 Experimental ネットワークエラーログ記録 Experimental コンテンツネゴシエーション既定の Accept 値UA 文字列によるブラウザーの判定HTTP/1.x のコネクション管理プロトコルのアップグレードの仕組みプロキシーサーバーとトンネリングプロキシー自動構成ファイル (PAC)HTTP セキュリティHTTP Observatory実践的なセキュリティ実装ガイド権限ポリシー Experimental Cross-Origin Resource Policy (CORP)
Cordova アプリの Content-Security-Policy 設定について - Corredor
HTML5とJavaScriptによるiPhone/Android両対応アプリ開発ガイド (DESIGN & WEB TECHNOLOGY) 作者: 大友聡之,坂手寛,清水崇之,城口良太,高木基成,床井幹人,野島祐慈,渡辺俊輔出版社/メーカー: 翔泳社発売日: 2013/03/12メディア: 大型本 クリック: 1回この商品を含むブログ (2件) を見る $ cordova create コマンドで Cordova アプリの雛形を作ると、www/index.html に以下のような meta 要素が書き込まれている。 <meta http-equiv="Content-Security-Policy" content="default-src 'self' data: gap: https://ssl.gstatic.com 'unsafe-eval'; style-src 'self'
Introducing Content Security Policy - MDC Doc Center
HTTPガイドHTTP の概要HTTP の進化典型的な HTTP セッションHTTP メッセージメディア種別一般的な種別HTTP の圧縮HTTP キャッシュHTTP 認証HTTP Cookie の使用HTTP のリダイレクト条件付きリクエストRange requestsクライアントヒント圧縮辞書転送 Experimental ネットワークエラーログ記録 Experimental コンテンツネゴシエーション既定の Accept 値UA 文字列によるブラウザーの判定HTTP/1.x のコネクション管理プロトコルのアップグレードの仕組みプロキシーサーバーとトンネリングプロキシー自動構成ファイル (PAC)HTTP セキュリティHTTP Observatory実践的なセキュリティ実装ガイド権限ポリシー Experimental Cross-Origin Resource Policy (CORP)
Chrome 拡張機能で CSP を無視させる
◆ CSP の制限があるせいで拡張機能でできることも制限される ◆ 拡張機能なら HTTP header を書き換えることが出来るので無効にできる CSP 邪魔一部ページでは CSP が設定されているせいで拡張機能の JavaScript 埋め込みがうまく動きません 多くの人が困りそうなのだと Google 翻訳の拡張機能を Github のページで使えないことでしょうか issues のページは英語の長文が多いので翻訳機能を使いたい人は多いと思います 私も翻訳して全体を眺めて関係ありそうならちゃんと英語で読むってことが多いです Chrome の内蔵の機能なら問題なく翻訳できます ですが 内臓の機能だとカーソル合わせたときに日本語を表示してくれなかったり Chrome 以外の Chrome 系のブラウザでは使えない問題があるので拡張機能を使いたいです なのに拡張機能の翻訳だと CSP が原
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
javascript - How to override content security policy while including script in browser JS console? - Stack Overflow
Disable Content-Security-Policy - Chrome Web Store