コンテンツセキュリティポリシー
Content Security Policy(CSP)
https://developer.mozilla.org/ja/docs/Web/HTTP/CSP
Web ページがロードするリソースのソースを制御するための セキュリティポリシー
CSP を利用すると、ブラウザは Web ページが許可されたドメインからのリソースのみ読み込むように強制される
これにより、XSS や インジェクション攻撃 などのセキュリティリスクを軽減できる
CSP は HTTP レスポンスヘッダ または HTML の <meta> を使用して定義される
HTTP レスポンスヘッダの場合、Content-Security-Policy で定義できる
https://developer.mozilla.org/ja/docs/Web/HTTP/Headers/Content-Security-Policy
Content-Security-Policy: default-src 'self'; img-src *; script-src https://trusted.cdn.com
詳細
default-src 'self';: すべてのタイプのリソースに対して、同一 オリジン からのみコンテンツを読み込む
https://developer.mozilla.org/ja/docs/Web/HTTP/Headers/Content-Security-Policy/default-src
img-src *;: 画像はどのオリジンからも読み込める
https://developer.mozilla.org/ja/docs/Web/HTTP/Headers/Content-Security-Policy/img-src
script-src https://trusted.cdn.com: JavaScript のスクリプトは https://trusted.cdn.com のみ読み込める
https://developer.mozilla.org/ja/docs/Web/HTTP/Headers/Content-Security-Policy/script-src