コンテンツセキュリティポリシー (CSP)
コンテンツセキュリティポリシー (CSP) は、特定のタイプの攻撃を検出し、軽減するのに役立つ追加のセキュリティ層です。これには以下が含まれます:
- コンテンツ/コードの注入
- クロスサイトスクリプティング (XSS)
- 悪意のあるリソースの埋め込み
- 悪意のある iframe (クリックジャッキング)
CSPの設定方法について詳しくは、Mozillaのドキュメント ↗を参照してください。
CloudflareのCDNはCSPと互換性があります。
Cloudflareは以下を行いません:
- オリジンウェブサーバーからのCSPヘッダーを変更する(Zarazを使用している場合を除く、Zarazスクリプトが常に実行されることを保証するため ↗)。
- 第1者または第3者コンテンツの受け入れ可能なソースの変更を要求する。
- URLを変更する(
/cdn-cgi/エンドポイントやCloudflare Fontsを追加してGoogle FontsのURLを書き換えることを除く)。 - CSPで指定された場所に干渉する。
CSPヘッダーを変更または追加する必要がある場合、いくつかのCloudflare製品を使用して変更できます:
- あなたのウェブサイトがCloudflareを通じてプロキシされている場合、レスポンスヘッダ変更ルールを使用してCSPヘッダーを変更または追加できます。
- あなたのウェブサイトがCloudflare Pagesを使用してホストされている場合、
_headersファイルを設定してCSPヘッダーを変更または追加できます。
ただし、特定のCloudflare機能を使用するには、CSP内のヘッダーを更新する必要がある場合があります:
| 機能 | 更新されたヘッダー |
|---|---|
| Rocket Loader、Mirage | script-src 'self' ajax.cloudflare.com; |
| Cloudflare Apps ↗、Scrape Shield | script-src 'self' 'unsafe-inline' |
| Web Analytics | script-src static.cloudflareinsights.com; connect-src cloudflareinsights.com |
| Bot products | JavaScript検出とCSPを参照してください。 |
| Page Shield | Page Shield CSPヘッダー形式を参照してください。 |
| Zaraz | 更新は不要です(詳細 ↗)。 |
| Turnstile | Turnstile CSPを参照してください。 |