コンテンツセキュリティポリシーとは何ですか？

コンテンツセキュリティポリシー（CSP）は、Web開発者がWebサイトのセキュリティを強化するためのメカニズムです。 コンテンツセキュリティポリシーを設定することにより、Web開発者は、特定の信頼できるドメインからのみリソースをロードし、安全なHTTPS接続を適用し、ポリシー違反が発生したときに報告するようにWebブラウザーに指示できます。 これにより、多くのコンテンツインジェクションとクロスサイトスクリプティング（XSS）の脆弱性を防ぐことができます。これらの脆弱性は、データ漏洩、Webサイトの破壊行為、マルウェアの配布につながることがよくあります。

ポリシーは、Content-Security-Policy HTTPヘッダーを設定するか、サイトのHTMLソースに<meta http-equiv="Content-Security-Policy" ... >タグを含めることにより、Webブラウザーに送信されます。 実際のポリシーデータはテキスト文字列であり、必要な制限と構成を指定する1つ以上のディレクティブで構成されます。

コンテンツセキュリティポリシー、および本番アプリケーションでのそれらの実装の詳細については、次のリソースを参照してください。

• コンテンツセキュリティポリシーW3C仕様
• コンテンツセキュリティポリシーでNode.jsアプリケーションを保護する方法