CSP: base-uri
<base>
で使用できるURLを制限する
必ず指定すべきdirective
mdn
Strict CSP
にも含まれている
ref
base-uri 'none'
もしくは、
base-uri 'self'
参考
『Webブラウザセキュリティ』
p.69
ここだけ読んでもなんで危険なのかよくわからん
#??
6章にも書いているらしい