弊社のホームページにCSP(Content Security Policy)を導入しました。CSPについては、はせがわようすけ氏のスライド「5分でわかるCSP」がわかりやすいと思います。以下にスライドの一部を引用します。 具体的には、以下のように指定して使います。 Content-Security-Policy: default-src 'self' この結果、以下のようにJavaScriptの記述が制限されます。 外部のJavaScriptの読み込みは禁止 HTMLソースに記述した<script>...</script>のJavaScriptは禁止 イベント属性(onload="xxxx"など)は禁止 何も書けなくなるじゃないかと思われるかもしれませんが、JavaScriptは全て*.jsファイルに記述すればよい、ということです。 CSPは、JavaScriptのコードとデータを分離して
![弊社のホームページにContent Security Policy(CSP)を導入しました](https://cdn-ak-scissors.b.st-hatena.com/image/square/c390243c7d7adf1c5c7928f0ad43c19942afb4d9/height=288;version=1;width=512/https%3A%2F%2Fblogger.googleusercontent.com%2Fimg%2Fb%2FR29vZ2xl%2FAVvXsEjWz5Tjj7HnZa9Si-1lbXTAZ5eZ84_V1w4_u-aiWxWOy_aAS5PgC9Og31UPXyQgws5M6fvjMLIyHrwCKhqzEZIGfhthkTB5t1zTHknKF11V8FCIB66rhz2_sHo8ddBY8PDj_FrL0PWpnw%2Fw1200-h630-p-k-no-nu%2Fcsp001.png)