Content Security Policy Level 3におけるXSS対策 - pixiv inside
こんにちは、セキュリティエンジニアのkoboです。ピクシブには2018年4月に入社しており、セキュリティ観点でのアプリケーション開発や脆弱性報奨金制度の運用などを行っています。 本記事では、現在ピクシブの一部のサービスで取り組んでいるContent Security Policyについて知見を共有します。 概要 Content Security Policy (CSP) は、XSSを主としたウェブアプリケーションセキュリティの問題を軽減するために考案されたブラウザのセキュリティ機構です。 ウェブアプリケーションは、 Content-Security-Policy ヘッダをHTTPレスポンスに含めることで、意図していないJavaScriptの実行やリソースの読み込みをブラウザ側で制限することができます。 CSPは2012年頃よりブラウザに実装されていますが、2016年のGoogleの調査によ
コンテンツ セキュリティ ポリシー | Articles | web.dev
コンテンツ セキュリティ ポリシー コレクションでコンテンツを整理 必要に応じて、コンテンツの保存と分類を行います。 ウェブのセキュリティ モデルは、同一オリジン ポリシーに基づいています。たとえば、https://mybank.com のコードは https://mybank.com のデータにのみアクセスでき、https://evil.example.com にはアクセスを許可しないようにする必要があります。理論的には、各オリジンはウェブの他の部分から分離されているため、デベロッパーに安全なサンドボックスを構築できます。しかし実際には、攻撃者はシステムを妨害するいくつかの方法を見つけています。 たとえば、クロスサイト スクリプティング(XSS)攻撃は、サイトを騙して目的のコンテンツとともに悪意のあるコードを配信することで、同一オリジン ポリシーを回避します。これは大きな問題です。ブラウ
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
