CSPヘッダージェネレーターとは?
Content Security Policy(CSP)ヘッダージェネレーターは、Content-Security-Policy HTTPレスポンスヘッダーの構築を支援するツールです。CSPはクロスサイトスクリプティング(XSS)、データインジェクション、その他のコードインジェクション攻撃を防ぐセキュリティ標準で、ブラウザが信頼すべきコンテンツソースを指定します。
使い方
- チェックボックスで必要なディレクティブを有効にします。
- 各ディレクティブに許可するソースを入力します(例:
'self'、https://cdn.example.com)。 - 「CSPヘッダーを生成」をクリックして完全なヘッダー文字列を構築します。
- 結果をコピーしてサーバー設定やmetaタグに追加します。
よく使うCSPソース値
頻繁に使用される値には'self'(同一オリジン)、'none'(すべてブロック)、'unsafe-inline'(インラインスクリプト/スタイル許可)、'unsafe-eval'(eval許可)、data:(データURI許可)、特定のドメインURLなどがあります。
よくある質問
default-srcを設定しないとどうなりますか?
default-srcがない場合、未指定のディレクティブには制限がありません。ベストプラクティスとしてdefault-src 'self'をフォールバックとして設定し、必要に応じて個別のディレクティブで上書きすることが推奨されます。
HTTPヘッダーの代わりにmetaタグでCSPを使用できますか?
はい、HTML headに<meta http-equiv="Content-Security-Policy" content="...">を追加できます。ただしframe-ancestorsなどの一部のディレクティブはHTTPヘッダーとしてのみ機能します。