コンテンツセキュリティポリシー【Content-Security-Policy】CSP

概要

コンテンツセキュリティポリシーとは、Webブラウザに対して取得や実行を許可するコンテンツの範囲を指定し、不正なスクリプト実行などを防止するためのHTTPセキュリティ機構。サーバからクライアントに送られるHTTPレスポンスヘッダHTMLファイルmetaタグで指定することができる。
コンテンツセキュリティポリシーのイメージ画像

画像やスクリプトスタイルシートなどWebページに付随する要素について、どのドメインからであれば読み込みを許可するかというルールを指定する。例えば、自社のドメインと特定の信頼できる広告配信元以外のスクリプト実行を禁止するといった指示をブラウザに送ることができる。

CSPは主に「クロスサイトスクリプティング」(XSS)と呼ばれる攻撃への対策として用いられる。XSSは、Webサイトの脆弱性を突いて攻撃者がサイト外から悪意あるコードを注入し、利用者の個人情報を盗み出す手法だが、CSPを適切に設定していれば、許可されていないコードの実行そのものを封じることができる。

いきなり厳格に制限を行うと本来必要な機能まで動かなくなる可能性があるため、段階的な導入を支援する「報告専用モード」も用意されている。このモードでは実際の通信や実行を遮断せず、ポリシー違反のみを収集できるため、本番環境への影響を抑えながら設定内容の検証が可能である。

この記事の著者 : (株)インセプト IT用語辞典 e-Words 編集部
1997年8月より「IT用語辞典 e-Words」を執筆・編集しています。累計公開記事数は1万ページ以上、累計サイト訪問者数は1億人以上です。学術論文や官公庁の資料などへも多数の記事が引用・参照されています。