3.4.3.6 CSP準拠の開発のベスト・プラクティス

CSPコンプライアンスのベスト・プラクティスについて学習します。

• インライン・スクリプトおよびスタイルの回避

  外部のスクリプトおよびスタイルシートを使用します。CSPに準拠する最も効果的な方法は、インライン・スクリプトおよびスタイルを完全に回避することです。

• サポートされている置換文字列の使用

  #APEX_CSP_NONCE#や#APEX_CSP_HASHES#などの置換文字列を使用して、特定のインライン・スクリプトまたはスタイルの実行を安全に許可し、アプリケーションのセキュリティ・ポリシーに準拠していることを保証します。「サポートされている置換文字列」を参照してください。

• CSPコンプライアンスに関するアプリケーションのテスト

  • 開発者ツールの使用 - ブラウザの開発者ツール(Chrome DevToolsやFirefox Developer Toolsなど)を使用してアプリケーションをテストし、CSP違反を特定します。コンソールには、ブロックされたリソースの詳細が表示されます。

  • 反復と調整 - アプリケーションを開発する際に、CSPポリシーを継続的にテストして調整します。正当なコンテンツが誤ってブロックされないようにすると同時に、悪意のあるコンテンツが実行されないようにすることが重要です。