CSPビルダー / チェッカー
Content-Security-Policy を貼り付けると、危険な設定(unsafe-inline/ワイルドカード等)を即座に診断し、より厳格なポリシーのひな形を提示します。すべてブラウザ内で処理します。
すべてブラウザ内で処理。入力はサーバーに送信されません。
上の欄に CSP を貼り付けると診断結果が表示されます。
厳格なポリシーのひな形
これを起点に、自分のサイトに必要な配信元だけを最小限に足してください。
default-src 'self'; object-src 'none'; base-uri 'self'; frame-ancestors 'none'; script-src 'self'; style-src 'self'; img-src 'self' data:; font-src 'self'; connect-src 'self'; form-action 'self'; upgrade-insecure-requests
使い方
- 1
サイトのレスポンスヘッダから Content-Security-Policy の値をコピーして貼り付けます。
- 2
各ディレクティブが解析され、危険な指定が深刻度つきで一覧表示されます。
- 3
下部の「厳格なポリシー」をベースに、自分のサイトに必要な配信元だけを足していきます。
なぜ重要か
CSP は XSS の被害を大きく減らせる多層防御の要です。ただし unsafe-inline や * を許すと効果が大きく削がれます。まず厳格な default-src 'self' から始め、必要な配信元だけを最小限に追加するのが鉄則です。
よくある質問
Q貼り付けた内容はどこかに送信されますか?
A
いいえ。解析はすべてブラウザ内(JavaScript)で完結し、入力はサーバーに送信されません。
Qunsafe-inline はなぜ危険ですか?
A
インラインのスクリプト/スタイルを許可すると、XSS で注入されたコードも実行できてしまい、CSP の防御効果が大きく損なわれます。nonce や hash を使う方式に移行するのが安全です。