はい。今日も一日エアコンが臭い。 自分以外の人間がこのブログに任意の文字列を挿入することはできないし、できたとしても、さして脅威はないのだけれど、何となくCSP(Conent-Security-Policy)を適用した。 CSPの適用 とりあえずシュッとできる <meta> に設定した。 手順としては default-src 'self' から始めて、何が読み込めていないかDevToolsと睨めっこしながら追加していく。 このブログではiframeでSpeakerDeckのスライドを埋め込んでいたり、はてブやTwitterのボタンを設置していたので、それらをポチポチ追加していった。 (サクッとHTML内でどのドメインを読み込んでいるか出してくれるやつ書けばよかった感) 最終的には以下のような形に。 <meta http-equiv="Content-Security-Policy" con