コンテンツセキュリティ - ポリティレポートのみを使用して、レポートのみモードの基本的なCSPから始めて、機能を壊さないようにします。 2。違反データを収集し、不正なリソースを特定するためにレポートエンドポイントを設定します。 3.ディレクティブを締めて反復します?！缸约骸?、特定のドメイン、ノンセ、または「安全でないインライン」または *の代わりに使用します。 4.リソースの読み込みを制限するために、スクリプトSRC、スタイル-SRC、IMG-SRC、Connect-SRCなどの重要なディレクティブを適用します。 5.徹底的にテストし、動的なコンテンツを処理し、Connect-SRCを介したデータの剝離を防ぐことにより、一般的な落とし穴を避けてください。 6. SentryやReport URIなどのツールで監(jiān)視を自動化し、CSPチェックをCI/CDに統(tǒng)合します。 CSPを正しく実裝すると、厳密なコンテンツソースコントロールを実施することにより、XSSと注入リスクが大幅に削減されます。

フロントエンドの保護：コンテンツセキュリティポリシーのガイド（CSP）

最新のWebアプリケーションを構築している場合、さまざまなソースからスクリプト、スタイル、畫像、その他のリソースを引き込む可能性があります。しかし、すべての外部リソースは、特にクロスサイトスクリプト（XSS）とデータインジェクション攻撃の場合、潛在的な攻撃ベクトルです。そこで、コンテンツセキュリティポリシー（CSP）が登場します。魔法の弾丸ではありませんが、実裝できる最も効果的なフロントエンドセキュリティコントロールの1つです。

CSPは、どのコンテンツのソースが信頼されているかを定義し、悪意のあるコード実行のリスクを軽減するのに役立ちます。それがどのように機能し、どのように効果的に実裝するかを分解しましょう。

コンテンツセキュリティポリシーとは何ですか？

CSPは、Webページの承認されたコンテンツソースを宣言できるHTTP応答ヘッダー（ Content-Security-Policy ）です。ブラウザはこのポリシーを実施し、ルールと一致しないものをブロックします。サイトがスクリプト、スタイル、フォント、畫像などをロードできる場所のホワイトリストと考えてください。

CSPなしでは、攻撃者がスクリプトを注入することができた場合（例：コメントフォームを介して）、ブラウザはそれを実行します。強力なCSPでは、その注入されたスクリプトがページに入っても実行されません。

例CSPヘッダー：

 Content-Security-Policy：default-src 'self'; Script-src 'self' https://trusted.cdn.com; img-src *; Style-SRC 'Self' '安全でないインライン'

これはブラウザに次のことを示します。

• デフォルトでは同じオリジンからのみリソースをロードします
• 同じOriginとhttps://trusted.cdn.comのスクリプトを許可します
• 任意のドメインから畫像を許可します
• 同じオリジンとインラインスタイルのスタイルを許可します（ 'unsafe-inline'はセキュリティを弱めます）

知っておくべき重要なCSPディレクティブ

各ディレクティブは、異なるタイプのリソースを制御します。これが最も重要なものです：

• default-src - 他のほとんどのディレクティブが明示的に設定されていない場合のフォールバック
• script-src - JavaScriptをロードできる場所（XSS保護にとって重要）を制御する
• style-src - CSSの有効なソースを定義します
• img-src - 畫像の負荷の起源を制限します
• font-src - 許可されたフォントソースを指定します
• connect-src - AJAX、WebSocketなどを介してロードできるURLを制限します。
• frame-src - iframesに埋め込むことができるサイトを制御する
• object-src - フラッシュなどのプラグインの場合（制限する必要があります）
• base-uri - <base>タグハイジャックを防ぎます
• form-action - フォームターゲットとして使用できるURLを制限します

絶対に必要でない限り、 script-srcで'unsafe-inline'や'unsafe-eval'などの安全でないオプションを使用しないでください。

CSPを効果的に実裝する方法

CSPの実裝は、慎重に行わないとサイトを壊す可能性があるため、難しい場合があります。これが実用的なアプローチです：

1. レポートのみのモードで開始しますContent-Security-Policy-Report-Onlyテストします。これにより、機能を破ることなく違反をキャッチできます。

    Content-Security-Policy-Reportのみ：デフォルトSRC 'Self'; Report-URI /CSP-Report-Endpoint

2. 違反を収集して分析して、レポートエンドポイント（ /csp-report-endpointなど）を設定して、違反レポートを収集します。これらのJSONペイロードは、ブロックされているものを示し、ポリシーの洗練に役立ちます。

3. レポートに基づいて反復して締め、ポリシーを調整します。たとえば、アプリがGoogleフォントをロードする場合は、 fonts.googleapis.com font-srcに追加します。

4. 代替手段がない限り、過度に寛容なルールを使用しないでください*または'unsafe-inline'使用しないでください。その代わり：

   • インラインスクリプトにはnoncesまたはハッシュを使用します
   • 可能な場合は、地元のサードパーティライブラリをホストします
   • 最新のスクリプト読み込みには、Strict Dynamicを使用します

5. インラインスクリプトには、インラインスクリプトを使用する必要がある場合（分析用）、獨自の暗號化されたNonCEを使用する必要がある場合は、次のように使用する場合は、次のように使用する場合は、noncesまたはHashesを使用してください。

    <スクリプトnonce = "2726c7f26c">
     //インラインスクリプト
   </script>

   そしてあなたのcspで：

    Script-SRC 'nonce-2726c7f26c'

   または、スクリプトコンテンツのハッシュを使用します。

    script-src 'sha256-0qz8roz9fj5z3k3f5 ...'

   ---

   一般的な落とし穴とそれらを避ける方法

   • 厳密なポリシーでサイトを壊す→常にレポートのみのモードでテストしてください。
   • スタイル/スクリプトにunsafe-inlineを使用→これは、CSPの目的を打ち負かします。 Noncesを使用するか、外部ファイルに移行します。
   • 動的なコンテンツ→AJAX、WebSocket、およびリダイレクトを忘れることは、 connect-srcとframe-srcによって制御されます。
   • データの除去→CSPを使用しても、侵害されたスクリプトはconnect-srcを介してデータを送信する可能性があります。この指令を慎重に制限します。

   ---

   ボーナス：自動化と監(jiān)視

   • Report URIやSentryなどのツールを使用して、CSP違反を収集および分析します。
   • CI/CDパイプラインにCSPチェックを統(tǒng)合します。
   • 違反の突然のスパイクを監(jiān)視します。彼らは攻撃の試みを示すことができます。

   ---

   CSPは始めるのは難しくありませんが、それを正しくすることは注意を払う必要があります。基本的なポリシーから始め、レポートを使用して改善を導き、徐々に物事をロックダウンします。ペイオフ？ XSSおよびコンテンツインジェクション攻撃に対するはるかに強力な防御。

   基本的に、CSPを使用していない場合、重要なドアのロックが解除されています。それを閉じてください。

   以上がフロントエンドの保護：コンテンツセキュリティポリシーのガイド（CSP）の詳細內容です。詳細については、PHP 中國語 Web サイトの他の関連記事を參照してください。