Content Security Policy
WebブラウザがWebページ中の制約に反した挙動を検知してブロックできる仕組み 基本
Aのページではa.jsとb.jsしか使えないようにするのにContent-Security-Policyのレスポンスヘッダにscript-srcというディレクティブセットを行う
これでc.jsというのが仮にロードされても弾くことができる
様々なディレクティブセットがある
script-src
これを設定すると、インラインスクリプトやeval(), Function() setTimeoutなどのような文字列をソースコードとして動的にスクリプト実行を行う関数の使用が禁止される
これは知らなかった。
style-src
インラインのスタイルシートの読み込みを禁止する