[W3C]Content Security Policy Level 2 の要点まとめ
W3CのWeb Application Security WGが公開している、「Content Security Policy Level 2(コンテンツセキュリティポリシー レベル2)」というRecommendationの大事なところを日本語でまとめていきます。英語の原文は以下です。
はじめに
本文書では、コンテンツセキュリティポリシーというXSSのようなインジェクション脆弱性を緩和させる仕組みを定義します。コンテンツセキュリティポリシーは、ウェブアプリケーションの作者が「どのリソースを読み込むか」というポリシーを定めることができるものです。これは Content-Security-Policy というHTTPヘッダーを指定することで実現することができます。
Policyの定義の仕方
以下はアプリケーションのオリジンのみからしか、リソースを取得してはいけないことを示しています。
Content-Security-Policy: default-src 'self'以下は以下のようなポリシーを示しています。
- 画像はどんなURLからでもOK
- プラグインはmedia1.example.com media2.example.com *.cdn.example.comのみOK、
- スクリプトはtrustedscripts.example.comからのみOK、
- それ以外はオリジン以外取得禁止
Content-Security-Policy:
default-src 'self'; img-src *;
object-src media1.example.com media2.example.com *.cdn.example.com;
script-src trustedscripts.example.com