PHP Artisan Makeを使用してミドルウェアを作成します。ミドルウェアAddCSPheadersと、デフォルトのSRC「Self」などのポリシーを使用して、ハンドルメソッドにCSPヘッダーを?qū)g裝します。生産において「危険なインライン」と「安全でない平均」を避けながら。 2。$ Middlewareアレイにグローバルにミドルウェアを登録するか、APP/http/kernel.phpの特定のルートまたはグループに適用します。 3.分析やCDNに外部ドメインを許可するなど、必要なソースに基づいてポリシーをカスタマイズし、安全でないディレクティブの代わりにインラインスクリプトにNoncesを使用します。 4.オプションで、レポート-URI指令を追加してレポートを有効にし、そのエンドポイントのCSRF保護を無効にしながら、違反をログにするルートを作成します。 5.ポリシーを徹底的にテストし、厳密な構(gòu)成から始め、必要に応じてセキュリティと機能のバランスをとるために調(diào)整し、Laravelアプリケーションが効果的なCSP実裝を通じてXSSおよびインジェクション攻撃から保護されていることを確認します。

Laravelでコンテンツセキュリティポリシー（CSP）をセットアップすると、アプリケーションがクロスサイトスクリプティング（XSS）、データインジェクション、およびその他のクライアント側(cè)の攻撃から、どのリソース（スクリプト、スタイル、畫像など）をロードできるかを制限することにより、アプリケーションを保護するのに役立ちます。 LaravelはデフォルトでCSPを含めていませんが、ミドルウェアを使用して効果的に実裝できます。これが方法です。

1. CSPミドルウェアを作成します

Content-Security-PolicyヘッダーをHTTP応答に追加するミドルウェアを生成することから始めます。

この職人コマンドを?qū)g行します：

 PHP Artisan Make：ミドルウェアAddCSPheaders

次に、新しく作成されたファイルapp/Http/Middleware/AddCspHeaders.phpを開き、 handleメソッドを変更します。

 <？php

namespace app \ http \ middleware;

閉鎖を使用します。

クラスaddcspheaders
{
    パブリック関數(shù)ハンドル（$ request、closure $ next）
    {
        $ response = $ next（$ request）;

        //生産にCSPのみを適用します
        if（app（） - >環(huán)境（ &#39;production&#39;））{
            $ csp = "default-src &#39;self&#39;; script-src &#39;self&#39; &#39;&#39;安全でないインライン &#39;&#39; Unsafe-eval &#39;; style-src&#39; self &#39;&#39; unsafe-inline &#39;; img-src&#39; self &#39;data：https：; font-src&#39; self &#39;; frame-ancestors&#39; &#39;none&#39;;"

            $ Response-> Header（ &#39;Content-Security-Policy&#39;、$ csp）;
        }

        返信$応答。
    }
}

？注：可能であれば、 'unsafe-inline'と'unsafe-eval'を避けてください。より良いセキュリティのために、代わりにノンセまたはハッシュを使用してください。

2。ミドルウェアを登録します

Laravelがリクエストに適用するように、ミドルウェアを登録する必要があります。

オプションA：グローバルミドルウェア（すべてのルートに適用）

app/Http/Kernel.phpの$middleware配列に追加します：

保護された$ middleware = [
    //その他のミドルウェア
    \ app \ http \ middleware \ addcspheaders :: class、
];

オプションB：ルート固有のミドルウェア

特定のルートでCSPのみが必要な場合は、ミドルウェアグループまたは個別のルートに割り當てます。

まず、 Kernel.phpのグループに追加します：

保護された$ middlewaregroups = [
    'web' => [
        //その他のミドルウェア
        \ app \ http \ middleware \ addcspheaders :: class、
    ]、、
];

または、ルートに直接適用します。

ルート:: get（ '/secure'、function（）{
    return View（ 'Secure'）;
}） - > middleware（addcspheaders :: class）;

3。CSPポリシーをカスタマイズします

アプリのニーズに基づいてポリシーを調(diào)整します。例えば：

• Google AnalyticsまたはCDNSを使用する場合：

   Script-src 'self' https://www.google-analytics.com 'Unsafe-inline';
  img-src 'self' https://www.google-analytics.comデータ：;

• インラインスクリプト（推奨されない）を使用する場合は、noncesを使用します。

  リクエストごとにノンセを生成します。

   $ nonce = base64_encode（random_bytes（16））;

  その後、設(shè)定します：

   Script-SRC 'self' 'nonce-'。 $ nonce;

  そして、あなたのブレードテンプレートで：

   <script nonce = "{{$ nonce}}">
      console.log（ "これは許可されています"）;
  </script>

  view()->share()またはミドルウェアを介してnonceを渡します。

4。レポートを使用する（オプション）

違反を監(jiān)視するためにCSPレポートを設(shè)定することもできます。

report-uriまたはreport-to Directiveを追加します。

 $ csp = "default-src 'self'; ...; report-uri /csp-report;";

次に、レポートを処理するルートを作成します。

ルート:: post（ '/csp-report'、function（）{
    \ log ::警告（ 'csp違反：'、request（） - > all（））;
    返信応答（ ''、204）;
}） - > middlewareなし（[\ app \ http \ middleware \ verifycsrftoken :: class]）;

CSPレポートはクロスオリジンが送信されるため、このエンドポイントのCSRFを無効にします。

まとめ

• cscswヘッダーを挿入するためのミドルウェアを作成します
• Kernel.phpまたは特定のルートで登録します
• cussetsアセットとドメインに基づいてディレクティブをカスタマイズします
• caps可能な場合は安全でない慣行を避けてください
• Reportingレポートを使用して、問題をキャッチおよび修正します

適切に構(gòu)成されたCSPを使用すると、LaravelアプリはXSSおよびインジェクション攻撃に対して非常に回復(fù)力が高くなります。厳密に起動し、徹底的にテストし、必要に応じて調(diào)整します。

基本的に、セットアップするのは難しくありません。ミドルウェアと慎重なポリシー調(diào)整だけです。

以上がLaravelでコンテンツセキュリティポリシー（CSP）を設(shè)定する方法は？の詳細內(nèi)容です。詳細については、PHP 中國語 Web サイトの他の関連記事を參照してください。