CSP(Content Security Policy)
content security policy
https://developer.mozilla.org/ja/docs/Web/HTTP/Guides/CSP
どのドメインのリソースの実行を許可するか決めるやつ。
ブラウザの機能っぽいけど、同一オリジンポリシー(SOP)みたいに設定してないと勝手にオリジン以外はpostできないって感じでは無い。設定しないと有効じゃ無い感ある。
xssの対策にいい。
vercelで勝手にやってくれてるとか無いんかな
なさそうnextjsならmiddlewareに書く例みたいなの出してくれてる
https://nextjs.org/docs/app/guides/content-security-policy
これちょっとplaygroundのリポジトリで試してみたいな。
といきなりcspあてて壊れてしまわないか調べるために、report only機能があってそれ使うと違反した時にpostリクエスト送って何が違反したか調べれたりするみたい
こういうのもそうやしより安全にサイトを使ったり、作ったりするのってまだまだ知らないこと多いしこういうのをどんどん適用して試すっての良いよね。