概要

CSPを使用する事でXSS攻撃の軽減、検出(レポーティング機能を利用する事で)が可能

CSPの使用方法

下記のいずれかの方法でCSPを有効化できる
- Content-Security-PolicyヘッダをHTTPレスポンスで返す
- metaタグ指定

レスポンスヘッダーでの指定

ポリシーを適用させる

Content-Security-Policy: <policy-directive>; <policy-directive>

ポリシーを適用はせず、違反を報告させる

Content-Security-Policy-Report-Only: <policy-directive>; <policy-directive>

metaタグでの指定

<meta http-equiv="Content-Security-Policy" content="<policy-directive>">

Policy directive

個々のdirectiveは下記を参照。
https://developer.mozilla.org/ja/docs/Web/HTTP/Headers/Content-Security-Policy

Policy directive	説明
Fetch directive	リソースのタイプ毎にロードする制限をかけられる.default-srcは対応するリソースのポリシーが指定されてない場合に適用される.ソースの指定方法
Document directives	baseの属性やプラグインの種類等を制限
Navigation directive	formのポスト先やiframeのソース等の制限
Reporting directives	ポリシー違反のレポート方法を指定

その他

block-all-mixed-content

HTTPS時のHTTPコンテンツの読み込みを防ぐ
常時HTTPS化の際にレポーティング機能との組み合わせで問題のあるリンクを見つけるのに役に立つ

require-sri-for

scriptとstyleに対してsriを強制する

upgrade-insecure-requests

HTTPのアクセスをHTTPSに強制する

使用例

自ドメインのリソースのみ読み込みを許可する

Content-Security-Policy: "default-src 'self'

自ドメインと指定したドメインのみの読み込みを許可する

Content-Security-Policy: default-src 'self' *.example.com

ReadOnlyを利用したレポートティングの例

指定したレスポンスヘッダ

Content-Security-Policy-Report-Only: default-src 'self'; report-uri http://localhost:8080/report

画像ポリシーに違反した場合のレポート

{
    "csp-report": {
        "document-uri": "http://localhost:8080/img.html",
        "referrer": "",
        "violated-directive": "img-src",
        "effective-directive": "img-src",
        "original-policy": "default-src 'self'; report-uri http://localhost:8080/report",
        "disposition": "report",
        "blocked-uri": "http://placehold.it/350x150",
        "status-code": 200
    }
}

スクリプトポリシーに違反した場合のレポート

{
    "csp-report": {
        "document-uri": "http://localhost:8080/script.html",
        "referrer": "http://localhost:8080/",
        "violated-directive": "script-src",
        "effective-directive": "script-src",
        "original-policy": "default-src 'self'; report-uri http://localhost:8080/report",
        "disposition": "report",
        "blocked-uri": "https://code.jquery.com/jquery-3.2.1.min.js",
        "status-code": 200
    }
}

Content Security Policy (CSP)

概要