3.4.3.2 CSP違反のタイプ
CSP違反のタイプについて学習します。
'unsafe-inline'
のCSP違反のタイプは次のとおりです:
-
インライン・スクリプト・タグ: インライン
<script>
タグに有効なnonceがない場合に発生します。<script> console.log('This script will be blocked by CSP because it lacks the correct nonce.'); </script>
-
1.インライン・スタイル属性:
style
属性がHTML要素で直接使用される場合に発生します。<!-- This inline style will be blocked by CSP --> <span style="color: blue;">Text</span>
-
インライン・スタイル・タグ: スクリプト違反と似ていますが、
<style>
タグまたはインライン・スタイルに関連します。<!-- Blocked if no valid nonce is provided --> <style> body { background-color: red; } </style>
-
インラインJavaScript属性:
onclick
、onmouseover
などのHTML属性でインラインJavaScriptが使用されている場合にトリガーされます。<!-- This will be blocked by CSP --> <button onclick="alert('Clicked!')">Click Me</button>
-
外部リソース違反: リソース(スクリプト、スタイルなど)が、CSPヘッダーで許可されていないソースからロードされるとブロックされます。
<!-- Blocked if cdn.example.com is not in the script-src directive --> <script src="https://cdn.example.com/library.js"></script>
親トピック: コンテンツ・セキュリティ・ポリシー(CSP)の構成