
Content Security Policy(CSP)入門 - XSS を緩和するブラウザの防御層を設計する
約16分
Content Security Policy(CSP)をフロントエンド/バックエンド双方の実務目線で整理します。Content-Security-Policy ヘッダと Report-Only、default-src や script-src などの主要ディレクティブ、self / none / unsafe-inline といったソースキーワード、nonce と hash と strict-dynamic を使ったモダンな strict CSP、report-to による段階導入とよくある落とし穴まで、MDN・W3C CSP Level 3・web.dev を一次ソースにまとめます。CSP は XSS を防ぐ最後の砦ではなく、あくまで緩和層という勘所も。