3.4.3.6 CSP準拠の開発のベスト・プラクティス
CSPコンプライアンスのベスト・プラクティスについて学習します。
- インライン・スクリプトおよびスタイルの回避
外部のスクリプトおよびスタイルシートを使用します。CSPに準拠する最も効果的な方法は、インライン・スクリプトおよびスタイルを完全に回避することです。
-
サポートされている置換文字列の使用
#APEX_CSP_NONCE#
や#APEX_CSP_HASHES#
などの置換文字列を使用して、特定のインライン・スクリプトまたはスタイルの実行を安全に許可し、アプリケーションのセキュリティ・ポリシーに準拠していることを保証します。「サポートされている置換文字列」を参照してください。 -
CSPコンプライアンスに関するアプリケーションのテスト
-
開発者ツールの使用 - ブラウザの開発者ツール(Chrome DevToolsやFirefox Developer Toolsなど)を使用してアプリケーションをテストし、CSP違反を特定します。コンソールには、ブロックされたリソースの詳細が表示されます。
-
反復と調整 - アプリケーションを開発する際に、CSPポリシーを継続的にテストして調整します。正当なコンテンツが誤ってブロックされないようにすると同時に、悪意のあるコンテンツが実行されないようにすることが重要です。
-
親トピック: コンテンツ・セキュリティ・ポリシー(CSP)の構成