3.4.3.5 CSPヘッダーの理解

CSPヘッダーは、様々なタイプのリソースに対してどのソースが許可されるかを指定するディレクティブに構造化されています。

コンテンツ・セキュリティ・ポリシー(CSP)ヘッダーの構成は次のとおりです:

  • default-src 'self' - このディレクティブは、すべてのデフォルトのリソース・ロード(スクリプト、スタイル、フォントなど)をアプリケーションと同じオリジンに制限します。
  • #APEX_CSP_NONCE# - APEXでは、このプレースホルダを、リクエストごとに暗号的にセキュアなnonceで動的に置き換えます。これにより、このnonceを含むインライン・スクリプトが実行される一方で、他のスクリプトはブロックされます。
  • 'unsafe-hashes' #APEX_CSP_HASHES# - APEXによってハッシュおよび承認された特定のインライン・スクリプトまたはスタイルを使用できます。display:none;に対応するハッシュ値を参照します。
  • object-src 'none' - よく利用される<object><embed>および<applet>要素の使用を許可しません。
  • img-src 'self' data: - data: URLでエンコードされた同じオリジンおよびインライン・イメージからのイメージを許可します。