アフィリエイト広告を利用しています
<< 脆弱性試験2021A リクエストの修正 | TOP | microtime()でトークン作成 >>

2021年12月28日

Content-Security-Policy

顧客より、Webページに Content-Security-Policyを追加するように依頼を受けた。

Content-Security-Policyが何なのか知らなかったので、Webで調べて、

見よう見まねで追加した。


  <meta http-equiv="Content-Security-Policy" content="default-src 'self';style-src 'self';script-src 'self' 'unsafe-inline'">


default-src ホームページ本体、HTMLファイル
      style-src やscript-srcを指定しなければStyle指定、Javascriptも含む
style-src   Style指定
script-src  Javascript

self     ホームページを置いているサーバ上
unsafe-inline HTMLファイル内に埋め込んでいる

詳しい説明はこちら
Content-Security-Policy


追伸


上記の指定では郵便番号変換が行われないことに気付いた。

script-src の指定を増やした。

script-src 'self' 'unsafe-inline' ajaxzip3.github.io yubinbango.github.io

.htaccessでの指定


.htaccessファイル内にも指定できる。下の例はiframeでの表示を制限している。


 Header always append Content-Security-Policy "frame-ancestors 'self' https://ドメイン名;"


self        自サーバ上のページ
https://ドメイン名  指定したドメインのサーバ上のページ

指定外のサーバ上のページからこのサーバ上のページをiframe表示することはできない。






【このカテゴリーの最新記事】

posted by db-engineer at 00:00 | Comment(0) | HTML、CSS

この記事へのコメント
コメントを書く

お名前:

メールアドレス:


ホームページアドレス:

コメント:

※ブログオーナーが承認したコメントのみ表示されます。

検索
最新記事
(11/12)XMLHttpRequest:GetとPostの違い
(10/26)uncaught reference error: $ is not defined
(10/08)DB Error: extension not found (53)
(10/01)カレントディレクトリを調べる
(09/02)ファイル名の後の余分な / (スラッシュ)
(05/29)TCPDF: multicellで行間指定
(05/05)Laravel : 登録フォーム(DateとTextarea)
カテゴリーアーカイブ
Access、Excel(53)
Docker(5)
小技(34)
Mysql(64)
Linux(40)
経営(13)
HTML、CSS(34)
日々のこと(102)
Google(12)
PHP(121)
Git(32)
Javascript(17)
PostgreSQL(13)
ブラウザ(19)
ファイルメーカープロ(45)
Mac(33)
システム開発・運用(57)
アフィリエイト(8)
私製 - IT用語辞典(1)
Vue.js(5)
プロフィール
db-engineerさんの画像
db-engineer
プロフィール
タグクラウド