Content Security Policy Level 3ã«ãŠã‘ã‚‹XSSå¯¾ç– - pixiv insideã“ã‚“ã«ã¡ã¯ã€ã‚»ã‚ュリティエンジニアã®koboã§ã™ã€‚ピクシブã«ã¯2018å¹´4月ã«å…¥ç¤¾ã—ã¦ãŠã‚Šã€ã‚»ã‚ュリティ観点ã§ã®ã‚¢ãƒ—ãƒªã‚±ãƒ¼ã‚·ãƒ§ãƒ³é–‹ç™ºã‚„è„†å¼±æ€§å ±å¥¨é‡‘åˆ¶åº¦ã®é‹ç”¨ãªã©ã‚’è¡Œã£ã¦ã„ã¾ã™ã€‚ 本記事ã§ã¯ã€ç¾åœ¨ãƒ”クシブã®ä¸€éƒ¨ã®ã‚µãƒ¼ãƒ“スã§å–り組んã§ã„ã‚‹Content Security Policyã«ã¤ã„ã¦çŸ¥è¦‹ã‚’共有ã—ã¾ã™ã€‚ æ¦‚è¦ Content Security Policy (CSP) ã¯ã€XSSを主ã¨ã—ãŸã‚¦ã‚§ãƒ–アプリケーションセã‚ュリティã®å•é¡Œã‚’軽減ã™ã‚‹ãŸã‚ã«è€ƒæ¡ˆã•ã‚ŒãŸãƒ–ラウザã®ã‚»ã‚ュリティ機構ã§ã™ã€‚ ウェブアプリケーションã¯ã€ Content-Security-Policy ヘッダをHTTPレスãƒãƒ³ã‚¹ã«å«ã‚ã‚‹ã“ã¨ã§ã€æ„図ã—ã¦ã„ãªã„JavaScriptã®å®Ÿè¡Œã‚„リソースã®èªã¿è¾¼ã¿ã‚’ブラウザå´ã§åˆ¶é™ã™ã‚‹ã“ã¨ãŒã§ãã¾ã™ã€‚ CSPã¯2012å¹´é ƒã‚ˆã‚Šãƒ–ãƒ©ã‚¦ã‚¶ã«å®Ÿè£…ã•ã‚Œã¦ã„ã¾ã™ãŒã€2016å¹´ã®Googleã®èª¿æŸ»ã«ã‚ˆ
{{#tags}}- {{label}}
{{/tags}}