3.4.3.6 CSP準拠の開発のベスト・プラクティス

CSPコンプライアンスのベスト・プラクティスについて学習します。

  • インライン・スクリプトおよびスタイルの回避

    外部のスクリプトおよびスタイルシートを使用します。CSPに準拠する最も効果的な方法は、インライン・スクリプトおよびスタイルを完全に回避することです。

  • サポートされている置換文字列の使用

    #APEX_CSP_NONCE##APEX_CSP_HASHES#などの置換文字列を使用して、特定のインライン・スクリプトまたはスタイルの実行を安全に許可し、アプリケーションのセキュリティ・ポリシーに準拠していることを保証します。「サポートされている置換文字列」を参照してください。

  • CSPコンプライアンスに関するアプリケーションのテスト
    • 開発者ツールの使用 - ブラウザの開発者ツール(Chrome DevToolsやFirefox Developer Toolsなど)を使用してアプリケーションをテストし、CSP違反を特定します。コンソールには、ブロックされたリソースの詳細が表示されます。

    • 反復と調整 - アプリケーションを開発する際に、CSPポリシーを継続的にテストして調整します。正当なコンテンツが誤ってブロックされないようにすると同時に、悪意のあるコンテンツが実行されないようにすることが重要です。