はじめに こんにちは、開発本部所属エンジニアの id:kiryuanzu です。 現在、Classi ではサービスのセキュリティリスクをできる限りなくすために Content Security Policy を導入して脆弱性を検知する仕組みの導入を進めています。 本記事ではこの仕組みを導入する上でどのような手順が必要であり、どのような箇所で苦戦するポイントがあったかについて紹介していきます。 筆者は今まで CSP対応に携わったことがなかったのですが、導入段階の時点で想定していたよりも様々な知識が必要なことがわかり、記事にしたいと思いました。 もし数ヶ月前の自分と同じように初めてCSP対応に関わる人の一助となれば幸いです。 Content Security Policy (通称: CSP) って何? Content Security Policy とは、HTTPヘッダの種類の1つであり、クロ
nonce=nonce - 改竄チェック トップ HTMLリファレンス nonce=nonce 属性 <tagName nonce=nonce> - 改竄チェック サポート https://caniuse.com/mdn-html_global_attributes_nonce 説明 nonce は HTML5.1 で追加された属性です。HTML Living Standard ではグローバル属性として定義されています。CSP(コンテンツセキュリティポリシー)に従い、XSS(クロスサイトスクリプティング)攻撃などによって Web ページ上に悪意を持って埋め込まれたスクリプトの実行を抑制するために用いられます。nonce は number used once の略で、一度だけ使用される数値を意味します。 使用例 例えば、HTTP のレスポンスに下記の様な HTTP ヘッダを付与します。non
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
