3.4.3.1 コンテンツ・セキュリティ・ポリシー(CSP)について

コンテンツ・セキュリティ・ポリシー(CSP)について学習します。

コンテンツ・セキュリティ・ポリシー(CSP)は、ブラウザでロードおよび実行できるコンテンツを制御することで、クロスサイト・スクリプティング(XSS)やデータ・インジェクション攻撃などの多様な攻撃を防ぐのに役立つWebセキュリティ標準です。CSPヘッダーを設定することで、アプリケーション開発者は、信頼できるソースからのリソースのみを実行またはレンダリングするようにブラウザに指示します。定義されたポリシーと一致しないものはすべてブロックされます。

ノート:

Oracle APEXは、'unsafe-inline'の必要性の排除に重点を置くことで、CSPコンプライアンスに向けて進歩しています。これは、スクリプト・タグおよびスタイル・タグにnounceを使用し、インラインJavaScriptおよびインライン・スタイルを減らすことで実現します。ただし、ここで重要なのは、すべてのAPEXコンポーネントがまだ完全にCSPに準拠しているわけではないということです。開発者は、一部のレガシー・コンポーネントまたは機能では、将来のリリースでさらに適応が必要になる可能性があることに留意してください。