Content-Security-Policy と nonce の話 - tokuhirom's blog

テクノロジーカテゴリーの変更を依頼記事元:

blog.64p.org

91 usersがブックマークコメント

コメント

8

記事へのコメント8件

注目コメント
新着コメント

hasegawayosuke よい。合わせて読みたい→https://twitter.com/teppeis/status/515295395543400448

csp

2014/09/26 リンク

teppeis nonceだけだとCSP 1.0には対応してるけどnonceに対応してないSafariとかでサイトが表示できなくなるので、フォールバックのためにunsafe-inlineも付けた方が良いかも。

csp

2014/09/25 リンク

rryu script要素を出力するヘルパーみたいなのを作れば簡単にできそうだが、外部JSのみという縛りの方が難しそう。アクセス解析タグとか埋め込めないし。

セキュリティ

2014/09/29 リンク

tyru 「"Content-Security-Policy: unsafe-inline; script-src 'nonce-${nonce}'" 形式で書いたら、${nonce} の部分を script タグの属性にいれないと実行されなくなります」

2014/09/26 リンク

efcl CSP nonceについて

CSP

2014/09/26 リンク

hasegawayosuke よい。合わせて読みたい→https://twitter.com/teppeis/status/515295395543400448

csp

2014/09/26 リンク

Jxck 　サポート状況。 IE は X- が必要っぽい。http://caniuse.com/#feat=contentsecuritypolicy

security

2014/09/26 リンク

teppeis nonceだけだとCSP 1.0には対応してるけどnonceに対応してないSafariとかでサイトが表示できなくなるので、フォールバックのためにunsafe-inlineも付けた方が良いかも。

csp

2014/09/25 リンク

karupanerura よさそう

security

2014/09/25 リンク

tokuhirom New post: "Content-Security-Policy と nonce の話"

2014/09/25 リンク

注目コメント算出アルゴリズムの一部にLINEヤフー株式会社の「建設的コメント順位付けモデルAPI」を使用しています

規約違反を報告

アプリのスクリーンショット

いまの話題をアプリでチェック！

バナー広告なし
ミュート機能あり
ダークモード搭載

アプリをダウンロード

関連記事

{{ total_bookmarks_with_user_postfix }}{{ root_title }}

Content-Security-Policy と nonce の話 - tokuhirom's blog

Content-Security-Policy と nonce の話 Content-Security-Policy の nonce を利用すると、XSS の脅威を... Content-Security-Policy と nonce の話 Content-Security-Policy の nonce を利用すると、XSS の脅威をかなり軽減できます。そこで、Web Application Framework ではデフォルトで対応したほうがよいのではないか、という旨を @hasegawayosuke さんから教えて頂いたので、実装について考えてみました。とりあえず CSP の nonce はどういうものなのかを考慮するために、コード例を探していたのですが、実際に動くサンプルというものが nonce 関連のもので見当たりませんでした。そこで、実際に動くサンプルを用意しました。 https://github.com/tokuhirom/csp-nonce-sample 以下は Sinatra で書かれたサンプルコードです。 require 'sinatr

ブックマークしたユーザー

t32k2018/01/15
hiro_y2015/02/24
ishiduca2015/02/24
kyo_ago2014/11/12
astk_f2014/10/25
tanakaBox2014/10/20
suginoy2014/10/16
ofsilvers2014/10/05
etakaha2014/10/04
Kenji_s2014/10/01
cakephper2014/10/01
flatbird2014/09/30
punitan2014/09/30
sukka92014/09/30
rryu2014/09/29
udzura2014/09/28
Akaza2014/09/27
sucrose2014/09/26

同じサイトの新着

同じサイトの新着をもっと読む

いま人気の記事

いま人気の記事をもっと読む

いま人気の記事 - テクノロジー

いま人気の記事 - テクノロジーをもっと読む

新着記事 - テクノロジー

新着記事 - テクノロジーをもっと読む

設定を変更しましたx