「Shutting Down XSS with Content Security Policy」より June 19,2009 posted by Brandon Sterne,Security Program Manager 人気Webサイトの多くは数年前からクロスサイト・スクリプティング(XSS)攻撃に悩まされ,アクセスしてきたユーザーに被害を及ぼしてきた。米モジラは2008年から,XSS攻撃の阻止を目的とする新技術「Content Security Policy」(CSP)の開発に取り組んでいる。当記事でこの技術の背景を簡単に紹介するとともに,これまでの進ちょく状況を説明しよう。 XSS攻撃が実行可能なのは,コンテンツ要求元のWebブラウザ上で,Webサーバーからの応答結果として得られるすべてのコンテンツが同じ権限で扱われるためである。Webページ内にあるJavaScriptとその他
![「Content Security Policy」でクロスサイト・スクリプティング攻撃を阻止](https://cdn-ak-scissors.b.st-hatena.com/image/square/bed39b5962a5d552c95b6d796db8f55e72d32943/height=288;version=1;width=512/https%3A%2F%2Fxtech.nikkei.com%2Fimages%2Fn%2Fxtech%2F2020%2Fogp_nikkeixtech_hexagon.jpg%3F20220512)