⚠ サイトの改ざん・マルウェア被害にお困りの方はこちら

CSP(コンテンツセキュリティポリシー)(Content-Security-Policy)とは

セキュリティヘッダ

定義

ブラウザに対し、スクリプトや画像などを読み込んでよい取得元を宣言するHTTPヘッダです。許可していない出所のコード実行をブラウザ側で止めます。

なぜ危険か

未設定だと、混入した不正スクリプトの実行や情報送信を止める最後の砦がない状態になります。

確認方法

Content-Security-Policy ヘッダが設定され、script-src が 'unsafe-inline' を避けているかを確認します。サイトドックの健診で確認できます。

あなたのサイトは大丈夫?無料でセキュリティ健診

URLを入れるだけ。登録不要で、外から見える弱点をその場でスコア表示します。

無料で健診する

このリスクを今すぐ確認

セキュリティヘッダ チェックツール(無料)→

関連する用語

クロスサイトスクリプティングX-Frame-OptionsSRI(サブリソース完全性)X-Content-Type-Options
日本情報基盤サービス株式会社/JIISセキュリティラボ / www.jiis.co.jp
本ページは一般的な解説であり、個別の環境での適用は専門家にご相談ください。