Posted at

CSP(Content-Security-Policy) でインラインのCSSは許可したい

Content-Security-Policy

JavaScriptのみをはじきたかった。

インラインCSSは許可したい。

これだとインラインCSSもはじかれてしまう。

header("Content-Security-Policy: default-src 'self';");

https://developer.mozilla.org/ja/docs/Glossary/Fetch_directive


すべてのフェッチディレクティブは default-src で代替されます。


script-src ディレクティブにのみ指定をする。

header("Content-Security-Policy: script-src 'self';");

https://developer.mozilla.org/ja/docs/Web/HTTP/Headers/Content-Security-Policy/script-src


script-src ディレクティブは、 JavaScript の情報なソースを指定します。