CSP (Content-Security-Policy) の記述を教えて下さい

CSP (Content-Security-Policy) の記述を教えて下さい

QCSP (Content-Security-Policy) の設定をする必要があるのですが、何を記述すれば良いでしょうか。

A. 大きく以下の 2パターンとなります。

default-src のみを設定している場合
以下を追加して下さい。
'self' 'unsafe-inline' 'unsafe-eval' data: *.marsflag.com *.marsfinder.jp *.marsflag.jp

default-src 以外も設定している場合
各設定項目にあわせて追加してください。

script-src を設定する場合は
'unsafe-inline' 'unsafe-eval' *.marsflag.com *.marsfinder.jp *.marsflag.jp
を、
style-src を設定する場合は
'unsafe-inline' c.marsflag.com
を、
font-src を設定する場合は 
c.marsflag.com
を、
img-src を設定する場合は
'self' data: *.marsflag.com *.marsfinder.jp *.marsflag.jp
を、
frame-src を設定する場合は
'self' <検索対象ドメイン>
を、
それぞれ追加して下さい。


html:`<meta http-equiv="Content-Security-Policy" content="default-src 'self' 'unsafe-inline' 'unsafe-eval' data: *.marsflag.com *.marsfinder.jp *.marsflag.jp">`

PHP:`header( "Content-Security-Policy: default-src 'self' 'unsafe-inline' 'unsafe-eval' data: *.marsflag.com *.marsfinder.jp *.marsflag.jp" );`

    • Related Articles

    • CSPでアクセス拒否となっています。対応策を教えてください。

      Q. カスタムエレメント Ver.1 を使っているのですが、CSP(Content Security Policy)の設定でアクセスがブロックされてしまいます。どうすれば正しく動作するようになりますか。 A.MF3.0をご利用いただくためには、お客様側で設定されているCSPに、以下の2点を追加していただく必要があります。  MF3.0が使用するドメイン(*.marsflag.com)の許可  JavaScriptの一部機能に必要な 'unsafe-eval' の許可 カスタムエレメント ...

    • CSPでアクセス拒否となっています。対応策を教えてください。

      Q. カスタムエレメント Ver.2 を使っているのですが、CSP(Content Security Policy)の設定でアクセスがブロックされてしまいます。どうすれば正しく動作するようになりますか。 A.MF3.0をご利用いただくためには、お客様側で設定されているCSPに、以下を追加していただく必要があります。  MF3.0が使用するドメイン(*.marsflag.com)の許可 カスタムエレメント Ver.2の場合、具体的なCSP設定例は以下の通りです。 -----ココカラ----- ...

    • 専用メタタグによるLast-Modified上書き

      お客様サイト内のHTMLページに、以下のMARS FINDER 3.0専用metaタグを<head></head>内に設置していただくことで、ページの「最終更新日時」を任意の日付に設定できます。 この設定により、日付順にページを並べ替える際の基準となる日時を上書きすることが可能です。 タグに記載する日次のフォーマットは RFC3339形式 (YYYY-MM-DDThh:mm:ssTZD)です。 例1: <meta property="mf:lastmodified" ...

    • タイトルアイコンの表示方法を教えてください

      Q. 検索結果の各ページ情報に赤枠のようなアイコン(タイトルアイコン)を表示させたいです。 タイトルアイコンを表示することにより、各ページの種類をわかりやすく表示できると考えているのですが、MF3.0 カスタムエレメントVer.2での表示方法を教えてください。 A.お客様にてCSSを調整いただくことで、表示させることが可能です。  以下は、CSSのサンプルですので、ご参考にご覧ください。 -----ココカラ----- /* タイトルアイコン指定 */ /* ...

    • 作成結果ダウンロードのフォーマットを教えてください

      Q. サービス一覧画面の作成結果ダウンロードのフォーマットを教えてください。 A.直近の検索DB作成時の結果を示すものです。ファイルのフォーマットは、以下の通りとなります。 1. MF3.0 検索DB作成結果ファイル 1.1 検索DB作成結果ファイル仕様 項目 内容 ファイル名 index_result_detail.zip ファイルフォーマット zip 1.2 索DB作成結果ファイル zipファイル内容 ファイル名 説明 index_result_detail.csv MF3.0 ...